Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://ce.lviv.ua - інфекція була виявлена 22.11.2009. Зараз сайт не входить до переліку підозрілих.
• http://uhf.com.ua - інфекція була виявлена 18.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://vip-com.lviv.ua - інфекція була виявлена 23.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://zalik.org.ua - інфекція була виявлена 04.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 11 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://newsukraine.com.ua - інфекція була виявлена 24.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 54 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Зазначу, що я вже писав про уразливість на newsukraine.com.ua. І власникам цього сайта (як і власникам всіх інфікованих сайтів, про які я писав) варто було краще слідкувати за безпекою. Тоді б подібного з ними не трапилося.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. Якщо минулого разу я навів приклади інфікованих як звичайних сайтів, так і gov-сайтів в Уанеті, то цього разу наведу приклади лише інфікованих недержавних сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://fsetyt.org.ua - інфекція була виявлена 21.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 11 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://donnatravel.kiev.ua - інфекція була виявлена 14.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pp.ua - інфекція була виявлена 06.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 15 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://energodar.zp.ua - інфекція була виявлена 03.10.2009. Зараз сайт не входить до переліку підозрілих.
• http://mobile.lviv.ua - інфекція була виявлена 19.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

В своїй статті Використання Safe Browsing від Google я розповідав про розроблену мною методику пошуку інфікованих сайтів (які були взломані і на них були розміщені шкідливі коди, або адміни цих сайтів самі розмістили шкідливі коди). Дана методика дозволяє знайти сайти, що були інфіковані на протязі останніх 90 днів.

Наведу вам приклади інфікованих українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://sputnikovoe-tv.com.ua - інфекція була виявлена 16.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://seho.org.ua - інфекція була виявлена 20.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 15 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://cifraweek.com.ua - інфекція була виявлена 01.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://franko.lviv.ua - інфекція була виявлена 18.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ivax.ua - інфекція була виявлена 30.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як видно власники сайтів зовсім не слідкують за їх безпекою. Що призводить до розміщення на них вірусів і про подібні випадки я вже неодноразово писав.

А ось п’ятірка інфікованих gov-сайтів в Уанеті:

• http://man.gov.ua - інфекція була виявлена 17.12.2009. Зараз сайт не входить до переліку підозрілих.
• http://kyivobljust.gov.ua - інфекція була виявлена 14.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://dpa-zp.gov.ua - інфекція була виявлена 23.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://lisproekt.gov.ua - інфекція була виявлена 19.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://dpi.gov.ua - інфекція була виявлена 15.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як видно адміністратори державних сайтів також зовсім не слідкують за їх безпекою. Як цього не роблять і СБУ та ДСТСЗІ.

Коли я виявив можливість використання Safe Browsing від Google для перевірки сайтів на інфікованість, першим ділом я провів діагностику декількох популярних веб сайтів. І я отримав доволі цікаві результати .

Серед найперших перевірених мною сайтів були google.com, yahoo.com та blogspot.com, які виявилися інфікованими (за останні 90 днів). Те, що blogspot.com (це один з доменів сервіса Гугла Blogger) виявився інфікованим, це мене не здивувало, бо я ще торік писав про те, що даний ресурс Google використовується для розповсюдження шкідливих кодів (по даним Sophos), а ось те, що сам google.com був інфікований, а також yahoo.com, це вже новина.

Діагностична сторінка Google Safe Browsing для google.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 разів протягом останніх 90 днів.

А також:

З 70146 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 4 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-16.

Malicious software includes 7 scripting exploit(s), 1 trojan(s). Successful infection resulted in an average of 1 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 14 доменах, що 7 доменів є посередниками поширення зловмисних програм серед відвідувачів сайта, а також:

За останні 90 днів сайт google.com був посередником зараження 10 сайтів, включаючи apostei.net/, www.jazaan.com.googlepages.com/, debsh2.mihanblog.com/.

Так що сайт Гугла був нещодавно інфікований (16.12.2009). Після чого він був очищений від інфекції, але факт залишається фактом.

Таким чином Information Leakage в даному сервісі Гугла призвела до витоку інформації про зараженність власного сайта. Це такий гумор у Гугла - оприлюднювати інформацію про інфікованість власних сайтів . З іншої сторони - це добре, що Гугл чесно це визнав.

Діагностична сторінка Google Safe Browsing для yahoo.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 разів протягом останніх 90 днів.

А також:

З 17710 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 15 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-13.

Malicious software includes 113 scripting exploit(s), 58 trojan(s), 8 exploit(s). Successful infection resulted in an average of 2 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 25 доменах, що 13 доменів є посередниками поширення зловмисних програм серед відвідувачів сайта.

Як видно, Yahoo пішов по стопам Гугла.

Діагностична сторінка Google Safe Browsing для blogspot.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 462 разів протягом останніх 90 днів.

А також:

З 2112321 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 19127 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-19.

Malicious software includes 21423 worm(s), 11635 trojan(s), 3186 scripting exploit(s). Successful infection resulted in an average of 16 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 3825 доменах, що 1592 домена є посередниками поширення зловмисних програм серед відвідувачів сайта, а також:

За останні 90 днів сайт blogspot.com був посередником зараження 23 сайтів, включаючи euroddl.com/, alfawarez.com/, ddlspot.com/.

А також:

Так, цей сайт поширював зловмисне програмне забезпечення протягом останніх 90 днів. Він заразив 9 домен(-ів), включаючи tisuituputih.blogspot.com/, enfermagemsu.blogspot.com/, elltoro.com/.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.pv.poltava.ua (хакером Cyb3rking) - 08.12.2009, зараз сайт вже виправлений адмінами
• http://baterfly.triadas.com.ua (хакером SALDIRAY) - 16.12.2009, зараз сайт вже виправлений адмінами
• http://www.websites.od.ua (хакером SALDIRAY) - 12.12.2009, зараз сайт не працює (немає його контенту)
• http://wolf-clan.com (хакерами з kasper security-Team) - причому спочатку сайт був взломаний 01.12.2009 kasper security-Team, а 12.12.2009 взломаний Mafia Egypt. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://ucheba.in.ua (хакером SALDIRAY) - 09.12.2009, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах DM Albums та Google Analytics. Для котрих з’явилися експлоіти. DM Albums - це плагін для створення фото альбомів та галерей, Google Analytics - це плагін для інтергації з системою Google Analytics.

• Численні уразливості в WordPress DM Albums Plugin (деталі)
• Google Analytics plugin for Wordpress - XSS Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

З початку грудня я розпочав свій новий проект. В якому я пропоную послуги виводу WebMoney на кредитні карти (Visa, MasterCard) і поповнення WebMoney із кредитних карт. А також обмін електронних валют WebMoney на LiqPAY і LiqPAY на WebMoney.

Детально про даний проект та про поточні комісії ви можете прочитати в мене на форумі та на форумі hackua.com.

Як я зазначив на форумах, можливий вивід з банкомата через систему LiqPAY. ПриватБанк з недавніх пір дозволяє знімати гроші в банкоматах з рахунку в LiqPAY навіть без картки (потрібно лише мати свій мобільний телефон).

Тобто не виводити з LiqPAY на картку, а потім змімати гроші в банкоматі, а одразу знімати в банкоматі гроші з рахунку LiqPAY. Так що люди можуть через мене обмінювати WebMoney на LiqPAY і виводити в готівку в банкоматах Приватбанку.

Але як я сьогодні перевірив під час досліджень даної функції ПриватБанку по виводу з банкомата через систему LiqPAY, цілком без карти вивести гроші не вийде.

Із собою обов’язково потрібно мати кредитну карту, окрім телефону. Це м.б. карта як приватовська, так і будь-якого іншого банку (це може бути навіть карта на якій немає коштів). Це пов’язано з тим, що приватовський банкомат, як це звичайно і буває в банкоматів, надає доступ до меню тільки після вставки карти в банкомат.

Так що потрібно мати із собою кредитну карту, вставити її в банкомат і ввести пін код (при цьому операцій з кредиткою проводитися не буде - це такий собі хакерський обхід обмежень банкомата). І після чого вибрати в меню вивід готівки з рахунка в LiqPAY (дотримуючись інструкцій Приватбанку).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.vforum.com.ua (хакером Mr.P3rfekt) - 05.12.2009, зараз сайт вже виправлений адмінами
• http://www.hladotech.com.ua (хакером 32rferkipper)
• http://ssa.kpi.ua (хакером XUGURX) - це все той же ssa.ntu-kpi.kiev.ua, похаканий в 2008 році і все ще не виправлений
• http://www.acmagistral.com.ua (хакером CmTr) - 01.12.2009, зараз сайт вже виправлений адмінами
• http://ynik.org.ua (хакером Cyber_945) - 31.10.2009, зараз сайт вже виправлений адмінами

Ще в серпні компанія IBResource повідомила про запуск Антиспам сервісу. Як заявляють розробники, це перший в Рунеті Антиспам сервіс для форумів.

Вони не зупинился на минулорічних покращеннях системи захисту від спаму і вирішили запропонувати новий сервіс для більшої протидиї спамерам.

Сервіс Антиспама являє собою комплекс заходів для визначення і блокування користувачів-спамерів. Частина даного комплексу вбудована у форум, а інша реалізована у вигляді окремого зовнішнього сервісу. Він обробляє всі дані про реєстрації на форумах клієнтів і на основі власної бази, робить висновок про можливу спам-реєстрацію. Відповідно, чим більше клієнтів використовує сервіс, тим ефективніше він працює і тим більше захищені самі форуми від спамерів.

• Антиспам сервис (деталі)

Сервіс працює з форумами IPB 2.3.6 та 3.x. Але розробники заявляють, що можуть надати необхідну інформацію по роботі сервіса для власників інших форумних движків.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.secretland-online.com (хакером Czar) - 27.11.2009, зараз сайт вже виправлений адмінами
• http://www.hackeruman.com.ua (хакером B.S) - B.S не сподобалось, що в назві магазина є слово “хакер” і він похакав даний онлайн магазин
• http://naftusia.net (хакером me) - 26.11.2009, зараз сайт вже виправлений адмінами
• http://pray.org.ua (хакером yavuzonder_135) - 22.11.2009, зараз сайт вже виправлений адмінами
• http://oi-ca.org.ua (хакером SALDIRAY) - 28.11.2009, зараз сайт вже виправлений адмінами