Websecurity - Веб безпека

За інформацією http://antifa.zp.ua, 04.06.2011, запорізькі антифашисти провели DDoS атаку на 27 сайтів. Це неонацистські сайти, що розміщені на одному сервері.

Торік 161 Kozak City Hack Team вже проводили подібну атаку на цей сервер (на 8 сайтів на ньому), а цього року вони повторили атаку - при цьому вона заторкнула більше сайтів (мабуть за рік на сервері збільшилася кількість подібних сайтів). DDoS атака тривала як мінімум на протязі червня.

Були атаковані наступні сайти: www.sol-krest.org, nsportal.org.ua, nswap.info, hvatitbuhat.info, biblioteka.nswap.info, links.nswap.info, ntz.org.ua, sxe.ukrright.info, www.acab.in.ua, rus-imperium.info, orientyry.com, murman.sumno.com, chat.nswap.info, nord.nswap.info, rediski.org, zentr.org, 1may.org.ua, ukrright.info, gb.nswap.info, untp.org.ua, rafront.org, redscum.info, rne-rusi.org, nsi14.info, raum88.nswap.info, divizion24.nswap.info, inv.org.ua.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mytv.ua - інфекція була виявлена 23.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://bel-trans.com.ua - інфекція була виявлена 23.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://legionfort.com.ua - інфекція була виявлена 09.12.2011. Зараз сайт входить до переліку підозрілих.
• http://yaposhka.kh.ua - інфекція була виявлена 06.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://ukr-lider.com.ua - інфекція була виявлена 27.10.2011. Зараз сайт не входить до переліку підозрілих.

В цьому році відбувся масовий взлом сайтів на сервері Service Online. Він тривав на протязі квітня-листопада 2011 року. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Service Online. Взлом складався з багатьох окремих дефейсів груп сайтів, більша частина з яких відбулася після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 26 сайтів на сервері хостера Service Online (IP 91.209.206.57). Це наступні сайти: ukrloza.org.ua, properevozki.org.ua, megamebli.org.ua, amini.com.ua, www.designort.com.ua, vinddetta.com, eurenssa2011.org.ua, www.agroprominvestplus.com.ua, www.agricourse.com.ua, www.adjutor.in.ua, www.adostavka.com, www.antory.com.ua, www.battle-helper.net, www.batuty.com.ua, www.biolactina.dp.ua, www.biser.dp.ua, che.gov.ua, jvc.od.ua, www.varva-rada.gov.ua, ssd-koda.gov.ua, www.goida-mebel.com.ua, www.zhayvir.com, kinoblesk.com, bee.in.ua, yatsura.lviv.ua, www.studyapples.com. Серед них українські державні сайти che.gov.ua, www.varva-rada.gov.ua та ssd-koda.gov.ua.

З зазначених 26 сайтів 7 сайтів були взломані хакером Ev!LsCr!pT_Dz, 9 сайтів хакером Mr.L4iVe, 1 сайт хакерами з Cocain TeaM, 1 сайт хакером SkilleR, 1 сайт хакером BLaCk_SPeCTRe та 6 сайтів хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://izmail-rada.gov.ua (хакером MCA-CRB) - 07.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://balrada.gov.ua (хакером nO lOv3) - 09.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://messi-10.com (хакером AMIN SAFI)
• http://skurort.com (хакером Crazy_r00t) - 07.01.2011, зараз сайт вже виправлений адмінами
• http://aelita.org.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fashionpeople.com.ua - інфекція була виявлена 05.12.2011. Зараз сайт входить до переліку підозрілих.
• http://vitada.org.ua - інфекція була виявлена 15.09.2011. Зараз сайт не входить до переліку підозрілих.
• http://ourwork.vn.ua - інфекція була виявлена 09.2011. Зараз сайт входить до переліку підозрілих.
• http://ayax-print.com.ua - інфекція була виявлена 27.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://my-tv.com.ua - інфекція була виявлена 11.11.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://mkt.od.ua (хакером FeeLCoMz) - 30.09.2011

Файли, що використовуються для RFI атак:

http://mkt.od.ua/e107_files/downloads/fx29id1.txt - файл все ще розміщений на сайті.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://rada-bershad.gov.ua (хакером ho1onk) - 20.09.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://koreiz-ps.gov.ua (хакером Wizardz) - 26.09.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://webkolo.org.ua (хакерами з RKH) - 11.08.2011, зараз сайт вже виправлений адмінами
• http://webkolo.com.ua (хакерами з RKH) - 11.08.2011, зараз сайт вже виправлений адмінами
• http://azovdvorik.com (хакером iskorpitx) - 10.08.2011, зараз сайт вже виправлений адмінами

В серпні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 2010 - 2011 років: 14.12.2010, 27.12.2010, 22.01.2011, 04.02.2011-22.02.2011, 11.03.2011, 20.04.2011, 02.05.2011, 11.07.2011, 10.08.2011 та 11.09.2011-14.09.2011. Другий масовий взлом сайтів на сервері Besthosting відбувася раніше.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох масових дефейсів та багатьох окремих дефейсів по одному або декількох сайтах, відбувся в той же період, що і згаданий масовий взлом сайтів на сервері HostPro.

Всього було взломано 55 сайтів на сервері хостера Besthosting (IP 195.248.234.41). Це наступні сайти: www.dvs-vinnitsa.gov.ua, artbagets.com, ubozcn.gov.ua, picks.com.ua, rock.vn.ua, sharkdesign.com.ua, fest.od.ua, bastion.vn.ua, artstuff-pro.com.ua, wn4wz.org.ua, reactorband.com, startup-music.com, terroraiser.com, stalwart.ru, multimarket.in.ua, advokat-chernigov.com.ua, advokat-ismailov.com, www.derevodekor.ru, domikvkaluge.ru, saunapodkluch.com, www.megamart.dp.ua, sng-technologies.com, www.mediapositiv.com, andriyushenko.com, aspua.com, exybible.ru, web.cn.ua, viglstudio.com.ua, optdekor.com, olkaragro.com.ua, harakterstvo.in.ua, impreza.biz.ua, ithelper.com.ua, itmasters.kiev.ua, vipmaster.dn.ua, slepki.com.ua, sde.in.ua, shoptrenager.com.ua, studio-disco.com, bizgarant.com, katalogi.in.ua, kbr.in.ua, carbon.lg.ua, budservice.vn.ua, diana-secret.com, www.icees.ru, www.admin.vn.ua, www.zhu4ok.com, www.mir-ok.in.ua, www.momibosse.com.ua, 2g-studio.net, edemnaotdyh.com, lyubavushka.com, umishki.com.ua, nocturnus.com.ua. Серед них українські державні сайти ubozcn.gov.ua та www.dvs-vinnitsa.gov.ua.

З зазначених 55 сайтів 1 сайт був взломаний хакерами з S3cur1ty-T3r0r-Cr3w, 14 сайтів хакером Besiktas Carsi Grubu, 2 сайти хакером iskorpitx, 2 сайти хакерами з RKH, 2 сайти хакерами з KSG-CREW, 2 сайти хакером biangrusuh, 7 сайтів хакером Mr AnEnO, 21 сайт хакером Matrex, 3 сайти хакерами з ahs-hackerz та 1 сайт хакером kaMtiEz.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі двох років, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://archive.org.ua - інфекція була виявлена 27.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://orienteering.dp.ua - інфекція була виявлена 06.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://krizis2009.org.ua - інфекція була виявлена 22.11.2011. Зараз сайт входить до переліку підозрілих.
• http://drummer.in.ua - інфекція була виявлена 20.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://medinstitut.kiev.ua - інфекція була виявлена 06.12.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.sips.gov.ua (хакером Ma3sTr0-Dz) - 20.09.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.sdip.gov.ua (хакером Ma3sTr0-Dz) - 20.09.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.schule8.org.ua (хакером iskorpitx) - 10.08.2011, зараз сайт вже виправлений адмінами
• http://webkolo.com (хакерами з RKH) - 11.08.2011, зараз сайт вже виправлений адмінами
• http://larose.pp.ua (хакерами з RKH) - 11.08.2011, зараз сайт вже виправлений адмінами