Архів за Листопад, 2015

Інфіковані сайти №243

23:55 30.11.2015

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://ndok.com.ua - інфекція була виявлена 30.11.2015. Зараз сайт входить до переліку підозрілих.
  • http://rassvet.dn.ua - інфекція була виявлена 30.11.2015. Зараз сайт не входить до переліку підозрілих.
  • http://nevagame.pp.ua - інфекція була виявлена 30.11.2015. Зараз сайт входить до переліку підозрілих.
  • http://resurs.ua - інфекція була виявлена 30.11.2015. Зараз сайт не входить до переліку підозрілих.
  • http://kratki.in.ua - інфекція була виявлена 30.11.2015. Зараз сайт не входить до переліку підозрілих.

Цікаве чтиво на тему web security

22:42 30.11.2015

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки (статті з Вікіпедії):

Масовий взлом сайтів на сервері Astratelcom

20:01 30.11.2015

02.03.2013

В грудні відбувся масовий взлом сайтів на сервері Astratelcom. Він тривав на протязі 2012-2013 років: від 03.12.2012 до 03.02.2013, а також було взломано 11 сайтів в 2011 році, про деякі з них я вже розповідав раніше (в тому числі 5 державних сайтів).

Був взломаний сервер української компанії Astratelcom. Взлом в 2012-2013 складався з двох невеликих дефейсів та двох крупних дефейсів сайтів. Масовий дефейс відбувся після згаданого масового взлому сайтів на сервері HostPro.

Всього було взломано 74 сайти на сервері хостера Astratelcom (IP 91.197.17.10). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.izmail-rada.gov.ua (це вже другий дефейс). Перед цим у 2011 році були дефейснуті наступні державні сайти: vip.bereg-rda.gov.ua, sovet.izmail-rada.gov.ua, genich-rada.gov.ua, bereg-rda.gov.ua, izmail-rada.gov.ua.

З зазначених 74 сайтів 61 сайт був взломаний хакером xatli, 1 сайт хакером Sejeal, 1 сайт хакером misafir, 2 сайти хакером MCA-CRB, 1 сайт хакером Hmei7 та 8 сайтів хакером Dr-Angel.

У випадку двох великих дефейсів xatli, сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

30.11.2015

Після попередніх 74 сайтів ще було взломано 131 сайт. Всього 205 сайтів. Серед них український державний сайт urss.gov.ua, euroinvest.gov.ua, dolyna-rada.gov.ua, idgk.gov.ua та знову izmail-rada.gov.ua.

Знову був взломаний сервер української компанії Astratelcom. Взлом в 2013-2015 складався з кількох невеликих дефейсів та двох крупних дефейсів сайтів.

Як у випадку двох попередніх великих дефейсів xatli, так і у випадку великих дефейсів IndonesianHaxor7 та Gabby сайти були атаковані хакером через взлом серверу хостінг провайдера.

Листопадевий вівторок патчів від Microsoft

17:23 30.11.2015

У листопаді місяці Microsoft випустила 12 патчів. Що більше ніж у жовтні.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Чотири патчі закривають критичні уразливості та вісім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, .NET Framework, Office Web Apps і SharePoint Server, Skype for Business і Microsoft Lync.

XSS та CSRF уразливості в D-Link DIR-100

23:58 21.11.2015

У січні, 29.01.2015, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DIR-100. Це третя частина дірок в router DIR-100.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DIR-100 та D-Link DIR-300.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Уразливості в Google Chrome і Oxide

20:46 21.11.2015

Виявлені уразливості безпеки в Google Chrome (V8 та Blink) і Oxide.

Уразливі продукти: Google Chrome 44, Oxide 1.9.

Обхід обмежень.

Взлом SSL через атаки на синхронізацію часу

20:01 21.11.2015

Продовжуючи розпочату традицію, після попереднього відео про проблеми DNS та їх вирішення, пропоную нове відео на секюріті тематику. Цього разу відео про взлом SSL через атаки на синхронізацію часу. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 23 - Breaking SSL Using Time Synchronisation Attacks

Влітку на конференції DEFCON 23 відбувся виступ Jose Selvi. В своєму виступі він розповів про синхронізацію часу в різних ОС і про проблеми безпеки пов’язані з цим. В тому числі розповів про атаки на синхронізацію часу в ОС, зокрема на SSL.

Він розповів як за допомогою таких атак взломати SSL з’єднання в цільовій системі. Рекомендую подивитися дане відео для розуміння поточного стану безпеки в Інтернет.

Листопадові DDoS атаки на сайти ДНР і ЛНР

17:28 21.11.2015

У жовтні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у листопаді.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.11.2015
DDoS на cikdnr.ru - 01-15.11.2015
DDoS на cik-lnr.info - 01-15.11.2015
DDoS на без-вести.рф - 01-15.11.2015
DDoS на ungu.org - 01-15.11.2015
DDoS на pravdatoday.info - 01-15.11.2015
DDoS на bne.su - 01-15.11.2015
DDoS на dnrpress.ru - 01-15.11.2015
DDoS на naspravdi.info - 01-15.11.2015
DDoS на europeanfront.info - 10-15.11.2015

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Уразливості в плагінах для WordPress №204

23:57 20.11.2015

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Cross Slide, Mobile Domain, Spider Facebook, Redirection Page, Google Doc Embedder. Для котрих з’явилися експлоіти.

  • WordPress Cross Slide 2.0.5 Cross Site Request Forgery / Cross Site Scripting (деталі)
  • WordPress Mobile Domain 1.5.2 Cross Site Request Forgery / Cross Site Scripting (деталі)
  • WordPress Spider Facebook 1.0.10 Cross Site Scripting (деталі)
  • WordPress Redirection Page 1.2 CSRF / XSS (деталі)
  • WordPress Google Doc Embedder 2.5.18 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Українські Кібер Війська захопили документи НР ДНР

22:43 20.11.2015

Раніше я писав, що Українські Кібер Війська взломали сайт Міністерства Оборони РФ.

В серпні та вересні, Українські Кібер Війська взломали багато офіційних електронних скриньок Народної Ради Донецької Народної Республіки. З електронної пошти ми захопили багато документів ДНР. Вже оприлюднив 7 частин даних.

Ось остання публикація: Українські Кібер Війська захопили нові документи ДНР. Всі файли розмістив на http://www.ex.ua/94427871.