Архів за Жовтень, 2015

Інфіковані сайти №241

23:53 31.10.2015

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://udaiciinternat.com.ua - інфекція була виявлена 31.10.2015. Зараз сайт входить до переліку підозрілих.
  • http://akva-plus.com - інфекція була виявлена 31.10.2015. Зараз сайт не входить до переліку підозрілих.
  • http://vntu.edu.ua - інфекція була виявлена 31.10.2015. Зараз сайт не входить до переліку підозрілих.
  • http://gotnorest.com - інфекція була виявлена 31.10.2015. Зараз сайт не входить до переліку підозрілих.
  • http://vita-infinity.com - інфекція була виявлена 31.10.2015. Зараз сайт не входить до переліку підозрілих.

Уразливості в Microsoft JScript і VBScript

22:40 31.10.2015

Виявлені уразливості безпеки в Microsoft JScript і VBScript, що використовуються в Internet Explorer та інших продуктах.

Уразливі продукти: Microsoft JScript 5.7 і 5.8, VBScript 5.7 і 5.8.

Виконання коду, пошкодження пам’яті.

  • Microsoft Security Bulletin MS15-108 - Critical Security Update for JScript and VBScript to Address Remote Code Execution (3089659) (деталі)

Веб додатки на інфікованих сайтах в 1 півріччі 2015 року

20:32 31.10.2015

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2015, я згадував, що в першому півріччі було інфіковано 88 сайти (з них 2 державних сайти).

Сьогодні я провів дослідження сайтів, що були інфіковані в першому півріччі 2015 року, і на 39 сайтах вдалося виявити движки. Частина з 88 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

WordPress - 13
Joomla - 12
DataLife Engine - 7
uCoz - 3
CNCat - 1
Drupal - 1
GetSimple - 1
I-Soft Bizness - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

DoS проти Apache Commons HttpClient

17:25 31.10.2015

Виявлена можливість DoS атаки проти Apache Commons HttpClient.

Уразливі версії: Apache Commons-HttpClient 3.1.

Відсутність таймаута під час хендшейка.

Похакані сайти №307

23:43 30.10.2015

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://cgo.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://kleenflo.com.ua (хакером Red hell sofyan)
  • http://aliansovs.com.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт закритий
  • http://artbjuro.org (хакером ViRuS OS) - 16.08.2015, зараз сайт вже виправлений адмінами

Добірка експлоітів

20:04 30.10.2015

В даній добірці експлоіти в веб додатках:

  • FortiManager 5.2.2 - Persistent XSS Vulnerabilities (деталі)
  • Photos in Wifi 1.0.1 iOS - Arbitrary File Upload Vulnerability (деталі)
  • My.WiFi USB Drive 1.0 iOS - File Include Vulnerability (деталі)
  • PCMan FTP Server 2.0.7 - Directory Traversal Vulnerability (деталі)
  • ManageEngine EventLog Analyzer Remote Code Execution (деталі)

Уразливості в плагінах для WordPress №202

18:11 30.10.2015

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Revolution Slider, Photo Gallery, Geo Mashup і в темі RedSteel. Для котрих з’явилися експлоіти.

  • WordPress Revolution Slider Local File Disclosure (деталі)
  • WordPress RedSteel Theme File Disclosure (деталі)
  • WordPress Photo Gallery 1.2.8 SQL Injection (деталі)
  • WordPress Photo Gallery 1.2.8 Cross Site Scripting (деталі)
  • WordPress Geo Mashup 1.8.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

DDoS attacks via other sites execution tool

16:22 30.10.2015

Сьогодні вийшла нова версія програми DAVOSET v.1.2.6. В новій версії:

  • Додав підтримку коментарів у списках.
  • Додав підтримку XML запитів через GET (зокрема для NetIQ Access).
  • Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 155 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.6.rar.

BF і CE уразливості в ASUS RT-G32

23:51 29.10.2015

28.03.2015

У січні, 24.01.2015, я виявив Brute Force та Code Execution уразливості в ASUS Wireless Router RT-G32. Це друга частина дірок в RT-G32.

Раніше я писав про уразливості в ASUS RT-G32.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

29.10.2015

Brute Force (WASC-11):

http://site

Немає захисту від BF атак.

Code Execution (OS Commanding) (WASC-31):

В розділі System Command можна виконувати системні команди. Код можна виконати також через CSRF атаку.

http://site/Main_AdmStatus_Content.asp

cat /proc/version

Уразливі всі версії ASUS RT-G32. Перевірялося в ASUS RT-G32 з прошивками версій 2.0.2.6 і 2.0.3.2.

Жовтневі DDoS атаки та взломи

22:43 29.10.2015

Раніше я писав про вересневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у жовтні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземними хакерами були проведені неполітичні взломи:

drohobych-rda.gov.ua (хакером ZoRRoKiN) - 22.10.2015
nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015

Проукраїнськими хакерами були атаковані наступні сайти:

Жовтневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі жовтня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт liveinternet-news.ru (через скаргу хостеру) - 10.2015
Закритий державний сайт bryanka-rada.gov.ua, що був захоплений терористами (через звернення до СБУ) - 10.2015