Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://control.at.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://freelan.at.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://s-map.at.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://omega-server.at.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://cssheaters.at.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://galactic.org.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих
• http://lion.zp.ua - інфекція була виявлена 03.04.2018. Зараз сайт не входить до переліку підозрілих
• http://electro-dom.od.ua - інфекція була виявлена 22.04.2018. Зараз сайт не входить до переліку підозрілих
• http://region-2001.com - інфекція була виявлена 03.05.2018. Зараз сайт не входить до переліку підозрілих
• http://dmebli.com.ua - інфекція була виявлена 03.05.2018. Зараз сайт не входить до переліку підозрілих

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах All-In-One Security / Firewall, Booking Calendar, Contact Bank, WP Live Chat Support. Для котрих з’явилися експлоіти.

• WordPress All-In-One Security / Firewall 4.1.2 CAPTCHA Bypass (деталі)
• WordPress Booking Calendar 6.2.1 Cross Site Scripting (деталі)
• WordPress Booking Calendar 6.2 SQL Injection (деталі)
• WordPress Contact Bank 2.1.21 Cross Site Scripting (деталі)
• WordPress WP Live Chat Support 6.2.03 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WooCommerce, Contact Form To Email, Code Snippets, ColorWay, Insert PHP. Для котрих з’явилися експлоіти.

• WordPress WooCommerce 2.6.2 Cross Site Scripting (деталі)
• WordPress Contact Form To Email 1.1.47 Cross Site Scripting (деталі)
• WordPress Code Snippets 2.6.1 Cross Site Scripting (деталі)
• WordPress ColorWay 3.4.1 Cross Site Scripting (деталі)
• WordPress Insert PHP 1.3 Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://vinjust.gov.ua (хакером Alarg53) - 14.01.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://jna.bio.gov.ua (хакером B0c4H_Id30T) - 06.02.2018 - похаканий державний сайт, файл хакера все ще на сайті
• http://karoff.com.ua (хакером KkK1337) - 02.01.2018, зараз сайт вже виправлений адмінами
• http://pas-pereviznuk.com.ua (хакерами з Guardiran Security Team) - 14.02.2018, зараз сайт вже виправлений адмінами
• http://dkt.dp.ua (хакером ZoRRoKiN) - 19.08.2018, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://deju.com.ua - інфекція була виявлена 21.02.2018. Зараз сайт не входить до переліку підозрілих
• http://brovary3d.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://tara-navigator.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://luxmdf.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://meest-tour.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих

У серпні, 31.08.2018, вийшла нова версія програми DAVOSET v.1.3.6. В новій версії:

• Додав підтримку SSRF уразливості в Splunk Enterprise.
• Додав нові сервіси в списки зомбі.
• Прибрав неробочі сервіси зі списків зомбі.

Всього в списку міститься 210 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.6.rar.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP No External Links, Google Forms, Paid Memberships Pro, Ultimate Product Catalog, Easy Testimonials. Для котрих з’явилися експлоіти.

• WordPress WP No External Links 3.5.15 Cross Site Scripting (деталі)
• WordPress Google Forms 0.84 Cross Site Scripting (деталі)
• WordPress Paid Memberships Pro 1.8.9.3 Cross Site Scripting (деталі)
• WordPress Ultimate Product Catalog 3.9.8 SQL Injection (деталі)
• WordPress Easy Testimonials 1.36.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2017 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 75 сайтів, а в другому півріччі було інфіковано 70 сайтів. Всього 145 сайтів за 2017 рік. І з них на 76 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 20
uCoz - 18
WordPress - 17
DataLife Engine - 6
Drupal - 6
Magento - 3
OpenCart - 2
Bitrix - 1
VaM Shop - 1

Зазначу, що три лідери серед веб додатків у першому й другому півріччі були незмінними. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

Дванадцять років тому, 18.07.2006, мій проект розпочав свою роботу. Так що нещодавно виповнилося 12 років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були оновлені DAVOSET, SecurityAlert та інші Секюріті програми.

Також опубліковано багато цікавих статей та досліджень, а також даних про діяльність Українських Кібер Військ.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Вчора, 30.07.2018, вийшла версія SecurityAlert 1.5. Моя система SecurityAlert - це система для інформування про інциденти з безпекою на веб сайтах.

У версіях SecurityAlert 1.4.x я зробив багато покращень, в тому числі додав визначення криптомайнінг вірусів (crypto mining malware) на сайтах. У наступній версії 1.5 додав підтримку nginx 1.15, інших доменів Coinhive майнерів, Saphali Lite плагіна для WordPress, зробив паралелізацію перевірки дефейсів сайтів у кеші Google та покращив визначення Drupal.

Це перша Security as а service (SaaS) система з таким функціоналом. А весь набір функцій є унікальним в світі.