Websecurity - Веб безпека

У вересні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у жовтні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-31.10.2017
DDoS на dnrpress.ru - 01-31.10.2017
DDoS на cikdnr.ru - 01-31.10.2017
DDoS на cik-lnr.info - 01-31.10.2017
DDoS на icp.su - 01-31.10.2017
DDoS на interbrigada.org - 01-31.10.2017
DDoS на dokcpp.dn.ua - 01-31.10.2017
DDoS на antiukrop.su - 01-31.10.2017
DDoS на milion.kiev.ua - 01-31.10.2017
DDoS на banner.dn.ua - 01-31.10.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Clikstats, Booking Calendar Contact Form, User Meta Manager, WooCommerce Currency Switcher. Для котрих з’явилися експлоіти.

• WordPress Clikstats 0.8 Open Redirect (деталі)
• WordPress Booking Calendar Contact Form 1.0.23 CSRF / XSS (деталі)
• WordPress Booking Calendar Contact Form 1.0.23 Shortcode SQL Injection (деталі)
• WordPress User Meta Manager 3.4.6 Information Disclosure (деталі)
• WordPress WooCommerce Currency Switcher 1.1.5.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В грудні, 13.12.2016, вийшов мій новий комерційний реліз - мій альбом “Imagination”. В даному випадку це EP і це шостий комерційний реліз після мого альбому “Perception Of Delight”.

Альбом складається з п’яти tech-house композицій. Він вже розміщений на Beatport та багатьох інших онлайн магазинах, де його можна прослухати та придбати (в високій якості). Всі композиції можна прослухати в нормальній якості в моєму акаунті на SoundCloud.

До альбому увійшли 5 композиції, що були створені мною в 2012-2014 роках. Це наступні композиції:

1. Imagination
2. Relaxation
3. Sensation
4. Euphoria
5. Fantasy

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в першому півріччі 2017 року.

За першу половину поточного року хакери в Уанеті ведуть себе достатньо активно, як і в аналогічному періоді 2016 року. 521 атака на веб сайти проти 444 - це дещо більша активність (зростання на 17,3%). Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно).

У даному звіті подана інформація про діяльність хакерів в Уанеті за шість місяців 2017 року - за період з 01.01.2017 по 30.06.2017.

• kryshtalevypalats.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• ifstat.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• pfu-sumy.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• gur.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• gnmc.kiev.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• khedai.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• justvolyn.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• lbmrada.net (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• obljust.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• odoblkru.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• sumy.ukrstat.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• ulrayrada.com.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• www.donetskstat.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• ztmetr.com.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• vodnik.kr.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• oblwodgosp.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• zouvr.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• zmuvg.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• www.mlinzem.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• uns.adm-pl.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• www.ostrograyonzem.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт
• 24 сайтів, окрім вищенаведеного 21 державного сайту, на сервері Укртелекому (хакером Anonymous Arabe) - 03.01.2017
• www.ivanrda.gov.ua (хакером ALP3R) - 05.01.2017 - похаканий державний сайт
• ukrjuntur.org.ua (хакером mohamed.xo) - 05.01.2017
• afonia.kiev.ua (хакером ALP3R) - 05.01.2017
• zakjust.gov.ua (хакером Dr.SiLnT HilL) - 10.01.2017 - похаканий державний сайт
• dityacha-rezidencia.kiev.ua (хакером GeNErAL) - 13.01.2017
• oblradack.gov.ua (хакером TheWayEnd) - 16.01.2017 - похаканий державний сайт
• 50 сайтів на сервері NeoCom (хакером TheWayEnd) - 16.01.2017
• mlinzem.gov.ua (хакером Nofawkx Al) - 21.01.2017 - похаканий державний сайт
• uns.adm-pl.gov.ua (хакером Nofawkx Al) - 24.01.2017 - похаканий державний сайт
• ostrograyonzem.gov.ua (хакером Nofawkx Al) - 25.01.2017 - похаканий державний сайт
• just.odessa.gov.ua (російськими хакерами) - 30.01.2017 та 05.07.2017 - похаканий державний сайт
• rodyna.ugcc.org.ua (хакером GeNErAL) - 06.02.2017
• www.lokdc.lviv.ua (хакером Alarg53) - 07.02.2017
• mediarnbo.org (хакером GeNErAL) - 08.02.2017 - похаканий державний сайт
• vodomet.com.ua (хакером HolaKo, а потім хакером NG689Skw) - 08.02.2017
• accordo.com.ua (хакером Geisterfahrer) - 08.02.2017
• artemida.net.ua (хакером Fallag Gassrini) - 10.02.2017
• pysk.com.ua (хакером Owner Dzz) - 18.02.2017
• khoas.gov.ua (хакером RxR) - 21.02.2017 - похаканий державний сайт
• 62 сайти на сервері Ukrnames (хакером RxR) - 21.02.2017
• zhmrada.gov.ua (хакером RxR) - 21.02.2017 - похаканий державний сайт
• carexpert.com.ua (хакером RxR) - 21.02.2017
• Ще 10 сайтів на сервері Ukrnames (хакером RxR) - 21.02.2017
• manufactura-art.com.ua (хакером TheSenius) - 23.02.2017
• www.korc.gov.ua (хакерами з Tsunami Faction) - 25.02.2017 - похаканий державний сайт
• ufc.dp.ua (хакером TheWayEnd) - 25.02.2017
• ergobud.com.ua (хакером Hawleri hacker) - 28.02.2017
• volyninfo.com (хакером Shade) - 03.03.2017
• vinoblzem.gov.ua (хакером Imam) - 05.03.2017 - похаканий державний сайт
• DDoS на etp.agrex.gov.ua (невідомими хакерами) - 13-14.03.2017 - атакований державний сайт
• sadyukrainy.com.ua (хакером dump3cz) - 18.03.2017
• DDoS на www.spfu.gov.ua (російськими хакерами) - 27.03.2017 - атакований державний сайт
• vinoblzem.gov.ua (хакером Imam) - 05.03.2017 - похаканий державний сайт
• trostrda.gov.ua (хакерами з Yunkers Crew) - 23.03.2017 - похаканий державний сайт
• stryirairada.gov.ua (хакером RxR) - 28.03.2017 - похаканий державний сайт
• re.gov.ua (хакером RxR) - 28.03.2017 - похаканий державний сайт
• luglis.gov.ua (хакерами з chinafans) - 28.03.2017 - похаканий державний сайт
• kinematica.com.ua (хакером GeNErAL) - 01.04.2017
• olegasvideo.com.ua (хакером Suliman Hacker) - 09.04.2017
• xolodok.com.ua (хакером Suliman Hacker) - 09.04.2017
• wedding-ukraine.com.ua (хакером Suliman Hacker) - 09.04.2017
• olegasphoto.com.ua (хакером Suliman Hacker) - 09.04.2017
• www.colorion.com.ua (хакером CyBeRKaNKa) - 12.04.2017
• plaw.nlu.edu.ua (хакером Mr E[R]) - 13.04.2017
• forum.adm-hrebinka.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт
• adm-hrebinka.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт
• info.adm-hrebinka.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт
• cloud.adm-hrebinka.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт
• osvita.adm-hrebinka.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт
• zt.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт
• 6.zt.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт
• zt.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт
• websystem.kotovsk-city.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт
• forum.adm-hrebinka.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт
• dokuchaevskga.ucoz.org (Українські Кібер Війська) - 16.04.2017
• kozsr.gov.ua (хакерами з Yunkers Crew) - 06.05.2017 - похаканий державний сайт
• webmail.just.gov.ua (невідомі хакери) - 08.05.2017 - хакнули веб пошту для розсилки фішингу
• archive.gov.ua (хакером GHoST61) - 11.05.2017 - похаканий державний сайт
• ptu85.com.ua (хакером Zedan-Mrx) - 13.05.2017
• journal.iitta.gov.ua (хакером Panataran) - 16.05.2017 - похаканий державний сайт
• DDoS атака на president.gov.ua (російськими хакерами) - 16.05.2017 - атакований державний сайт
• newis.biz (хакером Zedan-Mrx) - 18.05.2017
• osteopathy.com.ua (хакером Zedan-Mrx) - 18.05.2017
• pikprom.com (хакером Zedan-Mrx) - 18.05.2017
• piero.com.ua (хакером Zedan-Mrx) - 18.05.2017
• mediaxpress.com.ua (хакером BILGEKULTIGIN) - 21.05.2017
• DDoS атака на bihus.info (невідомими хакерами) - 05.06.2017
• kalynivka-rda.gov.ua (хакерами з Ashiyane Digital Security Team) - 06.06.2017 - похаканий державний сайт
• sm.gov.ua (хакерами з Yunkers Crew) - 08.06.2017 - похаканий державний сайт
• kostvlada.org (хакером Unknown Al) - 11.06.2017 - похаканий державний сайт
• www.vashi-okna.net.ua (хакером TheWayEnd) - 11.06.2017
• ipiend.gov.ua (хакером ProtoWave) - 15.06.2017 - похаканий державний сайт
• vinnytsia.man.gov.ua (хакером Ayyildiz Tim) - 17.06.2017 - похаканий державний сайт
• man.gov.ua (хакером God Attacker) - 20.06.2017 - похаканий державний сайт
• verkhovyna-rada.gov.ua (хакером ZoRRoKiN) - 20.06.2017 - похаканий державний сайт
• DDoS на novaposhta.ua (заблоковані через атаку вірусом) - 27.06.2017
• DDoS на dtek.com (заблоковані через атаку вірусом) - 27.06.2017
• DDoS на ukrposhta.ua (заблоковані через атаку вірусом) - 27.06.2017
• DDoS на korrespondent.net (заблоковані через атаку вірусом) - 27.06.2017
• DDoS на ua.energy (заблоковані через атаку вірусом) - 27.06.2017 - атакований державний сайт
• DDoS на football.ua (заблоковані через атаку вірусом) - 27.06.2017
• DDoS на mvs.gov.ua (заблоковані через атаку вірусом) - 27.06.2017 - атакований державний сайт
• DDoS на cybercrime.gov.ua (заблоковані через атаку вірусом) - 27.06.2017 - атакований державний сайт
• DDoS на cyberpolice.gov.ua (заблоковані через атаку вірусом) - 27.06.2017 - атакований державний сайт
• fitolab.gov.ua (хакером chinafans) - 29.06.2017 - похаканий державний сайт
• krasnograd-rada.gov.ua (хакером chinafans) - 29.06.2017 - похаканий державний сайт
• ivano-shyichyne-rada.gov.ua (хакером chinafans) - 29.06.2017 - похаканий державний сайт
• blagove-silska-rada.gov.ua (хакером chinafans) - 29.06.2017 - похаканий державний сайт
• ukrstock.com (хакерами з chinafans) - 29.06.2017
• bravotour.com.ua (хакерами з chinafans) - 29.06.2017
• sambir.net (хакерами з chinafans) - 29.06.2017
• tent515.com.ua (хакерами з chinafans) - 29.06.2017
• 258 сайтів хакерами з chinafans на сервері Укртелекому - 29.06.2017
• zeusnet.ua (хакером з Mister Spy) - 30.06.2017

З них взломано 62 державних сайти та проведено 7 DDoS атак на gov.ua-сайти. Що більше ніж в аналогічному періоді минулого року.

Також були інфіковані 75 сайтів, які вірогідно були похакані в цьому році. Що більше ніж 60 інфікованих сайтів за аналогічний період минулого року (зростання на 25%).

Інфіковані сайти у першій половині 2017 року: mk.osvita-dnepr.com, картинка.укр, journal.osvita-dnepr.com, lamurr.com.ua, ukgov-online.org, govuk-online.com, e-okna.com.ua, dex.ua, barhat-tour.com, biosalon.ua, mr.gov.ua, chsp.com.ua, gayrayrada.gov.ua, kosei.com.ua, prof-legion.com.ua, elefanto.ua, hram-uspennya.te.ua, procurement.in.ua, patoka.ua, teploart.com.ua, vasha-mebel.kiev.ua, stena.uz.ua, silentkeylogger.com, mediapoltava.com.ua, add.in.ua, aionritual.com.ua, ups.dn.ua, michaniki-ukraine.com, e-expo.com.ua, kondi.kiev.ua, ogoloshennia.com.ua, nniif.org.ua, bugor.lg.ua, aboutkids.org.ua, genichesk.co.ua, orangetravel.com.ua, asp-exclusive.com.ua, prostata.pp.ua, 3d-orange.com.ua, keramhome.com.ua, rossignol.kiev.ua, romsat.tv, beta.dostavka-obedov.kiev.ua, dostavka-obedov.kiev.ua, 2rest.com.ua, chasy.com.ua, orion-sparta.com, stream-ts.com, dosk.kiev.ua, talmix.com.ua, tutti-shop.com.ua, vita-infinity.com, decomebel.com, rassvet.dn.ua, hyip-all.com, sch-logistics.com, elnetworker.net, android-boom.com, nice-soft.zzz.com.ua, constructioninc.zzz.com.ua, profismart.club, lenraion.gov.ua, 360.fruitfuldemo.com, megabet77.fruitfuldemo.com, duh-i-litera.com, tn.esco.co.ua, need-hack.at.ua, tauri.at.ua, public-server.at.ua, hanelin.at.ua, syroedenie.com.ua, nuskin.biz.ua, galkorona.com, pravosudie.at.ua, cs-hltv.at.ua.

З них інфіковано 3 державних сайти (що більше ніж в аналогічному періоді минулого року): mr.gov.ua, gayrayrada.gov.ua, lenraion.gov.ua.

На початку наступного року підготую звіт за друге півріччя та підведу підсумки за 2017 рік.

В даній добірці експлоіти в веб додатках:

• PIKATEL 96338WS, 96338L-2M-8M - Unauthenticated DNS Change (деталі)
• PLANET VDR-300NU ADSL Router - Unauthenticated DNS Change (деталі)
• Cisco EPC 3925 - Multiple Vulnerabilities (деталі)
• Freefloat FTP Server 1.0 - ‘DIR’ Command Buffer Overflow (деталі)
• Bassmaster 1.5.1 - Batch Arbitrary JavaScript Injection Remote Code Execution (Metasploit) (деталі)

У жовтні місяці Microsoft випустила нові патчі.

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 2008, 2008 R2, 8.1, 2012, 2012 R2, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps і SharePoint Server та Skype for Business.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://s21.cshost.com.ua - інфекція була виявлена 29.09.2017. Зараз сайт не входить до переліку підозрілих
• http://fps.zzz.com.ua - інфекція була виявлена 30.09.2017. Зараз сайт не входить до переліку підозрілих
• http://china-tefon.at.ua - інфекція була виявлена 11.10.2017. Зараз сайт не входить до переліку підозрілих
• http://sirogasoft.zzz.com.ua - інфекція була виявлена 19.10.2017. Зараз сайт не входить до переліку підозрілих
• http://letsz0ck3r.zzz.com.ua - інфекція була виявлена 19.10.2017. Зараз сайт не входить до переліку підозрілих

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in Draytek Vigor 2130 (деталі)
• Productsurf Cms Sql Injection Vulnerability (деталі)
• WebdesignJiNi Cms Sql Injection Vulnerability (деталі)
• Path Traversal in BlackCat CMS (деталі)
• Multiple vulnerabilities in DrayTek VigorACS SI (деталі)

У вересні, 10.09.2017, вийшла версія SecurityAlert 1.4. Моя система SecurityAlert - це система для інформування про інциденти з безпекою на веб сайтах.

Після версії 1.3 я додав багато покращень та нового функціоналу в систему (за десять випусків гілки 1.3.x). У версії 1.4 давав функціонал вибору однієї категорії перевірки використовуючи Ctrl-Click, додав підтримку сервера GlassFish та покращив ідентифікацію MODx. Також оновив базу даних версій програм.

В жовтні я випустив версію 1.4.1, в якій додав підтримку сервера Cherokee та покращив ідентифікацію версій WordPress. Також оновив базу даних версій програм.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Appointment Booking Calendar, Instagram, User Meta Manager, Newsletter Pro. Для котрих з’явилися експлоіти.

• WordPress Appointment Booking Calendar 1.1.24 SQL Injection (деталі)
• WordPress Instagram 1.1.0 Cross Site Scripting (деталі)
• WordPress User Meta Manager 3.4.6 Privilege Escalation (деталі)
• WordPress User Meta Manager 3.4.6 Blind SQL Injection (деталі)
• WordPress Newsletter Pro 2.5.3.3 Open Redirect (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.