Архів за Серпень, 2010

Добірка уразливостей

20:08 26.08.2010

В даній добірці уразливості в веб додатках:

  • Everfocus EDR1600 remote authentication bypass (деталі)
  • eFront Multiple Parameter Cross Site Scripting Vulnerabilities (деталі)
  • Core - Joomla! Multiple XSS Vulnerabilities in Back End Administrative Module Core Components (деталі)
  • TwonkyMedia Server Multiple Cross-Site Scripting Vulnerabilities (деталі)
  • SQL injection vulnerability in CuteSITE CMS (деталі)
  • XSS vulnerability in CuteSITE CMS (деталі)
  • XSRF (CSRF) in CuteSITE CMS (деталі)
  • Jetty 6.x and 7.x Multiple Vulnerabilities (деталі)
  • SQL injection vulnerability in boastMachine (деталі)
  • squidGuard 1.3 & 1.4 : buffer overflow (деталі)

День народження

14:21 26.08.2010

Сьогодні в мене день народження - мені виповнилося 27 років. З чим вас і себе поздоровляю :-) .

Традиційно одним з перших мене поздоровив мій Palm. Але й деякі відповідальні люди також не забули це зробити.

В зв’язку з цією подією, я оновив SQL Injection ASCII Encoder. Після розміщення його в себе на сайті в 2008 році, я регулярно його оновлював (спочатку локальну версію, а потім і онлайн версію), щоб він ставав ще більш корисним і зручним інструментом при проведенні SQL ін’єкцій. І зараз я розмістив на сайті останню версію даного інструменту.

Похакані сайти №109

22:47 25.08.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://taxi-k.org (хакерами SysTem-Tr0jAn і FaSt’HaCkEr)
  • http://ntl.hmarka.net (хакером NOCKAR1111)
  • http://www.dj-wheels.com.ua (хакером houssem jrad)
  • http://www.polvent.com (хакером J0J0k з Ashiyane Digital Security Team) - причому спочатку сайт був взломаний 06.08.2010 J0J0k, як я вже писав, потім 11.08.2010 сайт не працював (не було контенту), а як тільки запрацював, то вже 15.08.2010 він був взломаний HAMED WOLF. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті. Зараз сайт вже виправлений адмінами
  • http://77.120.114.100/~jdemo/ (хакерами з AHG)

Вийшов PHP 5.2.13

19:31 25.08.2010

У лютому, 25.02.2010, вийшов PHP 5.2.13. В якому виправлено більше 40 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.13:

  • Виправлена валідація safe_mode всередині tempnam() коли шлях директорії не завершувався слешем (/).
  • Виправлений можливий обхід open_basedir/safe_mode в розширенні session.
  • Покращена ентропія LCG.
  • А також виправлений збій в ldap_next_reference.

По матеріалам http://www.php.net.

Нові уразливості в eSitesBuilder

15:09 25.08.2010

19.06.2010

У травні, 06.05.2009, я знайшов Insufficient Anti-automation, Cross-Site Scripting, SQL Injection та Full path disclosure уразливості в eSitesBuilder (це українська комерційна CMS). Які я виявив на сайтах www.allo.ua та rozetka.com.ua. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в eSitesBuilder.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

25.08.2010

Insufficient Anti-automation:

http://site/forget.php

В формі немає захисту від автоматизованих запитів (капчі).

XSS:

Це single-user persistent XSS (коли користувач залогінений на сайті).

POST запит до сторінки профайла http://site/account.php. Код спрацює на сторінці профайла (поля Имя, Email, Телефон, Адрес 1, Адрес 2, Город/Поселок, Область) та на кожній зовнішній сторінці сайта (поле Имя).

XSS (persistent):

Через поле Имя в профайлі можна провести атаку на сторінках:

http://site/products/comments/product/
http://site/products/details/product/

XSS:

http://site/index.php?page=search&start_do_search=yes&search_text=%3Cscript%3Ealert(document.cookie)%3C/script%3E

SQL Injection:

http://site/index.php?page=search&start_do_search=yes&search_text=1&pcat_id=-1%20or%20version()=5

Full path disclosure:

http://site/index.php?page=search&search_text=%3C%3E

Уразливі потенційно всі версії eSitesBuilder.

Тунелінг експлоітів через SSH

22:42 24.08.2010

Продовжуючи розпочату традицію, після попереднього відео про використання BeEF і PHProxy для MITM атак, пропоную новий відео секюріті мануал. Цього разу відео про тунелінг експлоітів через SSH. Рекомендую подивитися всім хто цікавиться цією темою.

Tunneling Exploits Through SSH (whoppix)

В даному відео ролику розповідається про взлом сервера баз даних, що знаходиться на окремому сервері, через веб сервер, який знаходиться на комп’ютері, що доступний з Інтернет. Спочатку взламується веб сервер, на якому розміщується SSH сервер, до якого під’єднується нападник (обходячи при цьому фаєрвол).

Потім виявляється сервер в локальній мережі, де розміщена СУБД. Яка взламується з комп’ютера з веб сервером, до якого команди надходять через SSH. Рекомендую подивитися дане відео для розуміння векторів атак з використанням SSH.

Хакерська активність в Уанеті в 1 півріччі 2010

19:06 24.08.2010

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в першому півріччі 2010 року.

За першу половину поточного року хакери в Уанеті ведуть себе достатньо активно, як і в аналогічному періоді 2009 року. 155 атак на веб сайти проти 129 - це дещо більша активність. Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно).

У даному звіті подана інформація про діяльність хакерів в Уанеті за шість місяців 2010 року - за період з 01.01.2010 по 30.06.2010.

За цей час були взломані наступні сайти:

  • superconnection.tv (хакером NuriBaba) - 01.01.2010
  • kenly2009.at.ua (хакером jankiy3_es3r_genclik) - 01.01.2010
  • www.mebel-glamour.com.ua (хакером SALDIRAY) - 04.01.2010
  • bestmaster.com.ua (Black SEO) - 05.01.2010
  • www.salonimperia.com.ua (хакером SALDIRAY) - 06.01.2010
  • ja-rammstein.com (хакером Azko) - 08.01.2010
  • www.amnu.gov.ua (хакером the.spider) - 09.01.2010 - похаканий державний сайт
  • artalexdm.com.ua (хакером SALDIRAY) - 09.01.2010
  • kia.com.ua (хакером 3KB3R) - 10.01.2010
  • subaru.kiev.ua (хакером 3KB3R) - 10.01.2010
  • foton.com.ua (хакером 3KB3R) - 11.01.2010
  • www.liana.net.ua (хакером kLoq) - 13.01.2010
  • www.ounb.km.ua (хакером FormatXFormaT) - 16.01.2010
  • DDoS атака на exitpoll.org.ua (невідомими хакерами) - 17.01.2010
  • DDoS атака на www.dif.org.ua (невідомими хакерами) - 17.01.2010
  • DDoS атака на yanukovych.com.ua (невідомими хакерами) - 17.01.2010
  • www.acmagistral.com.ua (хакером TimeLord) - 17.01.2010
  • pozitifa.net (хакером Altair-Z) - 18.01.2010
  • recepti.org.ua (хакером Azko) - 19.01.2010
  • www.sc-collection.com.ua (хакером Dr.MiLiTaN-53) - 20.01.2010
  • www.gaisumy.gov.ua (хакером KTN) - 22.01.2010 - похаканий державний сайт
  • www.lvivua.com (Realold Mucked) - 25.01.2010
  • www.avtoplaza.ua (хакером DANYAR) - 28.01.2010
  • forum.jedi.com.ua (хакером ME) - 28.01.2010
  • www.crimeaapartment.com (хакером Juni-oR) - 28.01.2010
  • www.tropical.com.ua (хакером FormatXFormaT) - 28.01.2010
  • www.abcaudit.com.ua (хакерами з Parsi Hacker Secueiry Team) - 28.01.2010
  • DDoS-атака на security.ua (невідомими хакерами) - 29.01.2010
  • kenly2009.pp.ua (хакером jankiy3_es3r_genclik) - 29.01.2010
  • www.kana.dp.ua (хакером Black^Monster) - 31.01.2010
  • sport.webteka.com (хакером FormatXFormaT) - 02.02.2010
  • www.byut.dn.ua (хакером Palyo34 з 1923Turk) - 04.02.2010
  • autoexec.dp.ua (хакером SaDRaZaM) - 04.02.2010
  • joomla.in.dn.ua (хакерами Palyo34 і KroNicKq з 1923Turk-Grup) - 05.02.2010
  • www.fylypiv.com (хакером Metropolis) - 06.02.2010
  • www.pfu-km.gov.ua (хакером ZiyaretCi) - 07.02.2010 - похаканий державний сайт
  • DDoS атака на www.byut.com.ua (невідомими хакерами) - 07.02.2010
  • www.tymoshenko.ua (невідомими хакерами) - 07.02.2010
  • vavilon.in.dn.ua (хакером Palyo34 з 1923Turk) - 09.02.2010
  • www.ontop.od.ua (хакером ADIGA) - 09.02.2010
  • www.belmar-ltd.com (хакером Mr.D4rK) - 11.02.2010
  • donbasket.com (хакером FuaDanger34) - 12.02.2010
  • atta.zp.ua (хакером ijoo) - 14.02.2010
  • koboabe.com (хакером Underworld) - 15.02.2010
  • abraziv.kiev.ua (хакером h4ck-y0u) - 15.02.2010
  • don-reg.gov.ua (хакерами з 1923Turk) - 16.02.2010 - похаканий державний сайт
  • www.nrb-ukraine.com (хакером SALDIRAY) - 19.02.2010
  • www.eng.ukurier.gov.ua (хакером Mr.Computer) - 22.02.2010 - похаканий державний сайт
  • www.ukurier.gov.ua (хакером Mr.Computer) - 22.02.2010 - похаканий державний сайт
  • sfw.kharkov.ua (хакером DardanMiftari) - 22.02.2010
  • www.sumy-bespredel.info (хакером SALDIRAY) - 24.02.2010
  • www.mp.dn.ua (хакером Palyo34 з 1923 Turk Group) - 26.02.2010
  • www.medicalbulletin.com.ua (хакером Palyo34 з 1923Turk) - 01.03.2010
  • www.nb.mk.ua (хакером LeXx) - 02.03.2010
  • www.ikt.hneu.edu.ua (хакером SALDIRAY) - 03.03.2010
  • www.vkka.gov.ua (хакером Uxor) - 04.03.2010 - похаканий державний сайт
  • dpks.dp.ua (хакером MulTiHaCkeR) - 04.03.2010
  • www.offshoreservice.com.ua (хакером SarBoT511) - 04.03.2010
  • DDoS атака на www.meria.zp.ua (невідомими хакерами) - 04.03.2010
  • www.virtlibrary.dp.ua (хакерами Google і Leon) - 05.03.2010
  • boryslavmvk.gov.ua (хакером Uxor) - 09.03.2010 - похаканий державний сайт
  • www.santel.com.ua (хакером bejo6) - 09.03.2010
  • parktrade.com.ua (хакером DaNG3R) - 09.03.2010
  • mortgage.gov.ua (хакером CrazyHacker16) - 12.03.2010 - похаканий державний сайт
  • www.ipoteka.gov.ua (хакером CrazyHacker16) - 12.03.2010 - похаканий державний сайт
  • zven.gov.ua (хакером Rivijx7k0s) - 12.03.2010 - похаканий державний сайт
  • www.stropuva.com.ua (хакерами SALDIRAY і PC_MAN) - 12.03.2010
  • www.kurash.com.ua (хакером RoAd_KiLlEr) - 13.03.2010
  • antivirus2010.org.ua (хакером ZH4RK) - 15.03.2010
  • librkorec.rv.ua (хакером SALDIRAY) - 16.03.2010
  • mirabela.com.ua (хакером RedGuard) - 20.03.2010
  • www.chilli.net.ua (хакером Dementor) - 21.03.2010
  • shai.dp.ua (хакером Dementor) - 21.03.2010
  • mediator.uz.ua (хакером fatalflex07) - 22.03.2010
  • uspixm.com (хакерами з UAH-Crew) - 23.03.2010
  • www.compsysnet.chnu.edu.ua (хакером Top 511) - 23.03.2010
  • www.kompan.com.ua (хакерами з KING SOLUTIONZ) - 24.03.2010
  • www.globallogic.com.ua (хакером Miss-BogoSsaX) - 27.03.2010
  • vforme.net (хакерами з UAH-Crew) - 28.03.2010
  • misto.mogpod.com.ua (вінницький хакер) - 04.2010 - похаканий державний сайт
  • cgpa.com.ua (хакером System_Invisible з AzDefacer) - 03.04.2010
  • lemus.com.ua (хакером KNS KDG) - 03.04.2010
  • shela.org.ua (хакером Delp0rt3r) - 03.04.2010
  • avtonews.cv.ua (хакером TeXaS) - 03.04.2010
  • kvs.gov.ua (хакером Nitrojen26 з Ashiyane Digital Secyrity Team) - 04.04.2010 - похаканий державний сайт
  • androgen.com.ua (хакерами з UAH-Crew) - 05.04.2010
  • l.ua (хакером AvareC) - 06.04.2010
  • vizitki24.com.ua (хакером SALDIRAY) - 06.04.2010
  • bao-book.com (хакером Palyo34 з 1923Turk) - 08.04.2010
  • bikeforum.dp.ua (хакером FormatXFormaT) - 10.04.2010
  • www.beba.com.ua (хакером Meher Assel aka NeT_Own3r) - 10.04.2010
  • www.norwayjobsssa.com (хакером Delp0rt3r) - 11.04.2010
  • www.marosvita.org.ua (хакером B0T_25 з Azdefacers) - 15.04.2010
  • ml.host-ua.org.ua (хакером Kam_06) - 15.04.2010
  • av.ved.bz (хакером PURGATORY-VX) - 19.04.2010
  • www.koruna.com.ua (хакером M3QD4D) - 22.04.2010
  • dolyna-rada.gov.ua (хакером TeaMp0isoN) - 22.04.2010 - похаканий державний сайт
  • www.invest.gov.ua (хакерами з 1923Turk) - 23.04.2010 - похаканий державний сайт
  • rnl.lviv.ua (хакером GHoST61) - 23.04.2010
  • www.220v.net.ua (хакерами з Albanian Cyber Warriors) - 24.04.2010
  • r-rezultat.ua (хакером Mc.Lon1) - 29.04.2010
  • www.mitra-m.com (хакером PZHG) - 30.04.2010
  • netmir.org.ua (хакерами FuaDanger34 і Azko) - 05.2010
  • DDoS-атака на politonomia.org.ua (українськими хакерами з 161 Kozak City Hack Team) - 01.05.2010
  • DDoS-атака на nsportal.org.ua (українськими хакерами з 161 Kozak City Hack Team) - 01.05.2010
  • DDoS-атака на ntz.org.ua (українськими хакерами з 161 Kozak City Hack Team) - 01.05.2010
  • DDoS-атака на avtonomns.org.ua (українськими хакерами з 161 Kozak City Hack Team) - 01.05.2010
  • DDoS-атака на www.untp.org.ua (українськими хакерами з 161 Kozak City Hack Team) - 01.05.2010
  • DDoS-атака на 1may.org.ua (українськими хакерами з 161 Kozak City Hack Team) - 01.05.2010
  • DDoS-атака на inv.org.ua (українськими хакерами з 161 Kozak City Hack Team) - 01.05.2010
  • DDoS-атака на forum.reactor.org.ua (українськими хакерами з 161 Kozak City Hack Team) - 01.05.2010
  • phys.onu.edu.ua (хакером LiMi’HacK) - 03.05.2010
  • www.new-stock.co.ua (хакером GHoST61) - 07.05.2010
  • conference.expresspizza.com.ua (хакером KTN) - 07.05.2010
  • mirwomen.fem.org.ua (хакером GHoST61) - 08.05.2010
  • forum.zharry.com.ua (хакером VPROTEST) - 08.05.2010
  • skripts.ks.ua (хакером Azko) - 08.05.2010
  • plazan.com.ua (хакером TheWayEnd) - 09.05.2010
  • collar.ua (хакером GHoST61) - 09.05.2010
  • balkonu.kiev.ua (хакером TOL) - 13.05.2010
  • www.mirabela.com.ua (хакером RedGuard) - 15.05.2010
  • www.ichilovtop.com.ua (хакером Mr.SPIDER) - 16.05.2010
  • markushi.berdychiv.in.ua (хакером GHoST61) - 17.05.2010
  • fay-ua.com (хакером ExcalibuR) - 17.05.2010
  • enews.net.ua (хакером KADER11000) - 20.05.2010
  • www.budlim.com (хакером ExcalibuR) - 20.05.2010
  • www.supersam.com.ua (хакером SHEISEBABOO) - 21.05.2010
  • yunona-tom.com (хакером isarock666) - 21.05.2010
  • www.laik-zht.com.ua (хакером GHoST61) - 22.05.2010
  • kievpositum.org.ua (хакером ULtR@Si) - 22.05.2010
  • www.lmg.net.ua (хакерами X-c0d3r, Fr3sH~X і SpawN) - 22.05.2010
  • www.servisgaz.com.ua (хакером FormatXFormaT) - 24.05.2010
  • www.school29.poltava.ua (хакером Y0u_W3rY) - 31.05.2010
  • cek.org.ua (хакером N2N) - 31.05.2010
  • wow.wnet.ua (хакером Conficker) - 04.06.2010
  • www.virtuoz.mk.ua (хакерами з Albanian Hacking Crew) - 04.06.2010
  • www.citroen.ua (хакерами b0zkurt і 3KB3R) - 04.06.2010
  • psiham.org.ua (хакером FeniX) - 04.06.2010
  • www.aktiva.ua (хакером SheKkoLik) - 06.06.2010
  • game-monitor.org (хакерами з KS-HACKERS.COM) - 06.06.2010
  • www.agrotimeteh.com.ua (хакерами з Prizreni Hackers Group) - 06.06.2010
  • auto-heart.sebastopol.ua (хакерами з KHS) - 07.06.2010
  • full-race.com.ua (хакером ExcalibuR) - 09.06.2010
  • irshava-rada.gov.ua (хакером kaMtiEz) - 11.06.2010 - похаканий державний сайт
  • irda.gov.ua (хакером kaMtiEz) - 11.06.2010 - похаканий державний сайт
  • DDoS атака на banner.ua (невідомими хакерами) - 17.06.2010
  • lviv.ukrgo.com (хакерами w01f і Ymer) - 19.06.2010
  • www.skvo.com.ua (хакером Wx) - 20.06.2010
  • 1.ronkos.net (хакером ExcalibuR) - 21.06.2010
  • www.mastergood.net (хакерами з TEAM UK L338) - 24.06.2010
  • www.aagu.org.ua (хакерами з Albanian Hacking Crew) - 24.06.2010
  • nemovlya.kiev.ua (хакером Chafush 511) - 27.06.2010
  • dkz.gov.ua (Арабським хакером) - 28.06.2010 - похаканий державний сайт
  • www.koruna.ua (хакером LAMER) - 30.06.2010

З них взломано 18 державних сайтів: www.amnu.gov.ua, kvs.gov.ua, misto.mogpod.com.ua, www.ipoteka.gov.ua, www.gaisumy.gov.ua, www.pfu-km.gov.ua, don-reg.gov.ua, www.eng.ukurier.gov.ua, www.ukurier.gov.ua, www.vkka.gov.ua, boryslavmvk.gov.ua, mortgage.gov.ua, zven.gov.ua, dolyna-rada.gov.ua, www.invest.gov.ua, irshava-rada.gov.ua, irda.gov.ua та dkz.gov.ua.

Також були інфіковані 122 сайти, які вірогідно були похакані в цьому році. Що значно більше ніж 2 інфіковані сайти в першій половині 2009 і 65 інфікованих сайтів в другій половині 2009.

123 сайти проти 2 - це в 61 раз більше інфікованих сайтів ніж за аналогічний період минулого року (зростання на 6050%).

Інфіковані сайти у першій половині 2010 року: kr-soft-portal.at.ua, teva.ua, polynovepole.com.ua, aiuto.at.ua, odegda.cv.ua, boxnews.com.ua, 24.ua, slipdanbux.org.ua, med.odessa.ua, violis.com.ua, soft1.org.ua, studportal.com.ua, reborn.cv.ua, oboz.ua, kinosvit.com.ua, eila-club.com.ua, montagnik.com.ua, aviris.com.ua, stalservise.com, santechshara.com, listelli.com.ua, oa.net.ua, ibrok.com.ua, pusha.com.ua, yarlu4ok.com.ua, hichkok.org.ua, mircen.com.ua, crazy-party.com.ua, ntr.lutsk.ua, ura-inform.com, radioera.com.ua, ura.dn.ua, era-fm.net, openbiz.com.ua, otvety.com.ua, pereklad.com, defend-pc.com, klitschko.com, redox.com.ua, ua-pravda.com, ua-24.com, rupor.info, gazeta.ua, nightclubbing.com.ua, crisis-coming.org.ua, private-school.sumy.ua, mixon.ua, nahuinuzno.com, ogk.kiev.ua, kivi-x.if.ua, stoknig.com, dobra-glina.com.ua, suninbev.com.ua, kivi-x.info, design.lutsk.ua, ukrtel.net, dnop.kiev.ua, kivadm.gov.ua, kivrada.gov.ua, demoversion.org.ua, pbs.net.ua, vokl.lutsk.ua, poligrafist.com.ua, atur.com.ua, host1gb.kiev.ua, sss.1gb.ua, tandem.dp.ua, www.umvs-kherson.gov.ua, uit.umvs-kherson.gov.ua, emarket.ua, www.dovidka.lutsk.ua, papovs.at.ua, orthodox.lutsk.ua, orthvoldiocese.lutsk.ua, yur-gazeta.com, strbypass.uz.ua, treage.com.ua, orthodoxy.org.ua, provinciyka.rv.ua, gala.net, schlechtendahl.com.ua, mobilux.info, skytel.com.ua, pes-world.org.ua, businessgo.info, flshgamer.info, realset.od.ua, investpul.biz.ua, kovka-yuga.com.ua, open.ua, pravo.poltava.ua, securemap.org.ua, programy.com.ua, referaty.com.ua, terraman.net, link.kiev.ua, ho.com.ua, textile-ua.com, shaadm.gov.ua, notforall.info, sushistudio.net, strawbale.ho.ua, daniluks.com, rovenki.biz, vhd-soft.com, vtuse.com, ehard.com.ua, mikaterravira.pl.ua, meta.ua, budmix.com.ua, ukrvent.com, otduh.com.ua, lineage2.net.ua, ms.km.ua, www.is.svitonline.com/santino/, babai.com.ua, childrenofchornobyl.org, kloun.net, avmarket.com.ua, kinoonline.tv, bestofaudio.com, photo-crimea.com.ua та pk-ukraina.gov.ua.

З них інфіковано 8 державний сайтів: ukrtel.net, dnop.kiev.ua, kivadm.gov.ua, kivrada.gov.ua, www.umvs-kherson.gov.ua, uit.umvs-kherson.gov.ua, shaadm.gov.ua та pk-ukraina.gov.ua.

Рейтинг хакерів (TOP-10):

  1. хакер SALDIRAY (за взлом 9 сайтів)
  2. українські хакери з 161 Kozak City Hack Team (за DDoS атаки на 8 сайтів)
  3. хакер GHoST61 (за взлом 6 сайтів)
  4. хакер Palyo34 з 1923Turk (за взлом 6 сайтів)
  5. хакер FormatXFormaT (за взлом 5 сайтів)
  6. хакер ExcalibuR (за взлом 4 сайтів)
  7. хакер 3KB3R (за взлом 4 сайтів)
  8. хакер Azko (за взлом 4 сайтів)
  9. хакери з UAH-Crew (за взлом 3 сайтів)
  10. україньский хакер Dementor (за взлом 2 сайтів)

В січні наступного року підготую звіт за друге півріччя та підведу підсумки за 2010 рік.

P.S.

Після публікації звіту я виявив ще сайти взломані (abraziv.kiev.ua, atta.zp.ua, conference.expresspizza.com.ua, www.stropuva.com.ua) та інфіковані (pk-ukraina.gov.ua) в першій половині 2010 року, а також ще 8 сайтів на які були проведені DDoS атаки. Які додав до переліку взломаних та інфікованих сайтів.

Добірка уразливостей

15:01 24.08.2010

В даній добірці уразливості в веб додатках:

  • Safari 3.2.3 (Win32) JavaScript ‘eval’ Remote Denial of Service Exploit (деталі)
  • SQL injection vulnerability in ImpressPages CMS (деталі)
  • SQL injection vulnerability in ImpressPages CMS (деталі)
  • DoS vulnerability in Multicast DNS server Avahi (деталі)
  • GR Board v1.8.6. (theme) Local File Inclusion Vulnerability (деталі)
  • GR Board v1.8.6.1 stab (page.php?theme) Remote File Inclusion Vulnerability (деталі)
  • IBM Lotus Notes 8.5 RSS Widget Privilege Escalation (XSS in local zone) (деталі)
  • XSS vulnerability in Ecomat CMS (деталі)
  • SQL injection vulnerability in Ecomat CMS (деталі)
  • Multiple Vulnerabilities in CMS Made Simple - Bkis (деталі)

Link Injection та Redirector уразливості в Internet Explorer

23:52 23.08.2010

Нещодавно, 20.08.2010, я виявив Link Injection та Redirector (URL Redirector Abuse) уразливості в різних версіях Microsoft Internet Explorer. Так що, як видно з мого дослідження, до Link Injection та Redirector уразливі не тільки веб додатки, але й браузери.

Link Injection (в IE8):

res://ieframe.dll/acr_error.htm#Site,http://site.com

Redirector:

В IE7 та IE8:

res://ieframe.dll/http_404.htm#http://websecurity.com.ua

В IE6, IE7 та IE8:

res://c:\windows\system32\shdoclc.dll/http_404.htm#http://websecurity.com.ua

res://shdoclc.dll/http_404.htm#http://websecurity.com.ua

res://c:\windows\system32\shdoclc.dll/syntax.htm#http://websecurity.com.ua

res://shdoclc.dll/syntax.htm#http://websecurity.com.ua

В даних Redirector уразливостях потрібно буде після переходу по лінці (у всіх зазначених браузерах) натиснути F5 чи клікнути на кнопку Refresh для редирекції на заданий сайт. Тому що браузер змінює адресу в адресному рядку на вказаний URL, але не переходить на нього, тому йому потрібно допомогти :-) .

Уразливі версії Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7 (7.00.5730.13), Internet Explorer 8 (8.00.6001.18702) та попередні версії.

Інфіковані сайти №41

22:47 23.08.2010

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://audiofile.org.ua - інфекція була виявлена 23.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://jet.if.ua - інфекція була виявлена 07.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 10 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://photo-crimea.com.ua - інфекція була виявлена 09.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://grandlog.com.ua - інфекція була виявлена 21.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://mp3xa.com.ua - інфекція була виявлена 12.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти audiofile.org.ua та mp3xa.com.ua також хостить в себе Укртелеком.