E' stato un hacker? Non ci credo

[Vincenxo]

Salve a tutti,
oggi il sito che gestisco non era più raggiungibile.
Ho controllato via FTP e cosa strana non c'era più nulla! Zero, nemmeno un file.
I database Mysql erano invece intatti.

Per prima cosa contatto il provaider (di quelli che nel nome hanno la parola Joomla) ed ho avuto come risposta che il mio sito è stato attaccato da hacker a causa del cms non aggiornato.

Joomla era aggiornato alla 1.5.17, i componenti anche, avevo installato GuardXT per aumentare la sicurezza, modificato il file .htaccess della cartella Administrator in modo tale da chiedere una password in più...

Insomma quello che vi chiedo è:
E' possibile che un hacker buchi Joomla e possa cancellare tutto il contenuto dello spazio web, senza inoltre toccare il database.

Ho chiesto al provaider le prove di quanto affermassero, ma mi hanno risposto di credergli sulla parola perchè purtroppo ripristinandomi il sito da un backup si erano cancellati i file di log. Naturalmente ho supposto loro che si sia trattato invece di un attacco ai loro server e quindi di una mancanza di adeguata sicurezza.

Questa cosa mi lascia perplesso e stanco della solita risposta (per qualsiasi problema) dei provaider: E' colpa del suo CMS che non è aggiornato (quando invece lo è).

Vi ringrazio anticipatamente

Vincenzo

[mau_develop]

credo che dubiterei anch'io, solitamente fanno casino ma non spazzano via nulla e soprattutto cercano il db, delle tue pagine non frega nulla.

Credo sia giusto tu chieda la dimostrazione.

Se hanno perso i backup poco male, ci sono i log del server e quelli per legge li devono avere, altrimenti devono aver redatto un rapporto di incidente che ne giustifichi l'assenza, ma credo tu abbia diritto di avanzare richieste solo dopo una denuncia alla polizia postale.

L'ipotesi più veritiera è che sia frutto di un maldestro tentativo di ripristino di qualcosa da parte di un'amministratore.

Ma ci sta anche quella dell'hacker... è vero la .17 (che non mi ha ancora convinto, secondo me ha ancora problemi con la pw), ma i componenti installati?

Anche a me ieri hanno defacciato un sito aggiornato alla .17, ... peccato mi sia sfuggito l'aggiornamento di una stupidata, e quella ha causato il danno.

M.

[Vincenxo]

Il provaider dice di aver perso i file di log, perchè ripristinato il sito da un backup viene cancellato quello del giorno incriminato. La cosa buffa è che hanno deciso loro di ripristinare il sito tramite un backup, che tra l'altro nel pannello dominio non era presente, quindi mi potevano benissimo dire (come capitato con altri) che avrei dovuto ripristinarlo io da un backup personale.
Certo la cosa è abbastanza strana, la cosa seccante sono le risposte telegrafiche dei provaider, non danno mai spiegazioni, anche su richieste esplicita.

Ancora oggi non ho trovato un provaider veramente serio ed affidabile pur avendone provati abbastanza. Certo è da tenere in conto che per 40/50€ l'anno (questo è il taget che cerco) è più difficile trovarli. Poi nei forum è vietato fare nomi, quindi pubblicità.
L'unica cosa da fare è provarli tutti 
Spero di trovarlo un giorno...quello giusto!

[mau_develop]

purtroppo è come dici, la cifra a volte vuol dire anche qs.

Intendiamoci, perchè non è successo nulla, ma se l'hacker avesse spedito dal tuo dominio immagini p_e_d_o come faresti a dimostrare di non essere stato tu?
... tranquillo che i log li hanno eccome, i log non stanno certo sul tuo spazio web da venir cancellati col backup (credo tu abbia parlato con qualche call center in albania non con un tecnico)

M.

[mau_develop]

Dopo essermi informato da un avvocato specializzato in digital forensics posso dirti con sicurezza ciò che sospettavo.

I log del traffico di un server devono essere conservati per un periodo di 12 mesi (prima erano 6+6)

La perdita per qualunque motivo estraneo ad una calamità naturale (..anche qui però ci sono eccezioni) dei log equivale a una sanzione pecuniaria non da poco.

Il tuo provider l'ha pagata?

M.

[Vincenxo]

Grazie mille dell'informazione molto utile. Proverò ad insistere facendogli notare questo "piccolo dettaglio" :-) Vediamo che rispondono, ti farò sapere.
Sono proprio curioso ;-)

Grazie ancora.

[56francesco]

potrebbero risponderti che hanno perso i tuoi log, mentre ovviamente conservano i log del server, ma che per diversi motivi quelli sono a disposizione della sola magistratura, e non avrebbero torto per niente.

e poi cosa credi di farci con i log?  quelli registrano dati che non possono essere associati ad un nominativo se non dietro ordine del magistrato..

[Vincenxo]

Non intendo farci nulla con questi file. Mi interessa accertare la causa del disservizio. E' alquanto fastidioso sentirsi dire che la colpa è sempre del cliente e soprattutto di Joomla.
Sinceramente questa volta non mi sembra così. Anche dal loro comportamento si evince che è stato un loro problema. Bastava ammetterlo.

E' fastidioso inoltre il rapporto che instaurano con il cliente, come se ci facessero un favore. Il servizio non costerà molto, ma vengono cmq pagati. Basta essere più cordiali ed educati.

Non mi interessa se otterrò i suddetti file, ma voglio fargli capire che il cliente va rispettato, non si sono minimamente scusati (e non hanno nemmeno risposto) anche dopo che gli si è fatto notare, educatamente, che il rapporto comunicativo e il rispetto da parte loro lasciava a desiderare. 

Sinceramente non è la prima volta che mi capitano provaider con un supporto del genere, ma è snervante. Se avete esperienze opposte, dove avete riscontrato serietà e cordialità nell'assistenza, mi fareste sapere con quale provaider? In privato naturalmente.

Cmq vi ringrazio per il vostro aiuto "gratuito" e "cordiale" 

[miao]

Per prima cosa contatto il provaider (di quelli che nel nome hanno la parola Joomla)

se finisce con host lascia stare  ... difficilmete otterrai di più delle solite risposte preconfezionate  !!!
come pure da tutti i provvider da 50 €

[Vincenxo]

no per "bay".
Di quello effettivamente ne ho sentite di cotte e di crude.
Ma qual'è la cifra da spendere per aspettarsi un servizio serio, a parità di caratteristiche?
Non sono tirchio ed i clienti li convinco :-D Basta che ne valga veramente la pena.

[56francesco]

per cortesia non si discute di servizi commerciali nel forum.

[Vincenxo]

Sorry 
Chi ha consigli può scrivermi in privato.

Grazie a tutti

[Vincenxo]

Ho ottenuto i file di log, prima dicevano che non erano più disponibili ora ci sono ahahah
Qualcuno mi può dare una mano ad analizzarli?

[mau_develop]

Riportiamo un'attimo la calma

Allora, Vincenxo, ... parto da l fondo... più che disponibile a dare un'occhiata a quei log ma la cosa si fa complicata e secondo me non vale la pena di continuare.

Io ho sostenuto la tua incazzatura perchè in realtà non sono io a farlo ma una legge, molto traballante e poco conosciuta visto che le pennellate lehanno finite di dare a febbraio ed è già ritenuta obsoleta in quanto le basi sono state gettate nel 2001.
Molte volte gli hoster per ragioni varie tagliano corto e ti dicono che "non si può"... non è vero, si può ma costa fatica.

I log dati così purtroppo non hanno molto senso.
L'hoster è diventato la mia "controparte" ed è lo stesso che ha in mano le "prove"... capisci che è assurdo, su quei log potrebbe esserci pure la bibbia scritta dal sysadmin

Avrebbe senso se questo fosse il risultato di una collaborazione volta a lavorare ognuno per quello che gli compete, aumentando la sicurezza, ma questo non succede.

Non è comunque difficile giudicare "sommariamente" un servizio, basta vedere cosa gira sul server e che versioni sono.
Solitamente ogni hoster serio ti consente di conoscere la configurazione pubblica del server, è un po' come farti vedere il motore di una macchina prima di vendertela... se tu vedi che il filtro dell'aria è del 2005, la batteria del 2006 etc... vuol dire quantomeno che il proprietario non aveva molta cura dell'auto e così pure un server.

Il mio ad esempio ha una versione del php con due vulnerabilità nel php, molto gravi però per fortuna un po' difficili da sfruttare se non molto competenti e questo taglia fuori le migliaia di lamerottoli che sfruttano poc ed esploit pubblici.

M.

[Vincenxo]

Diciamo che adesso ho ottenuto quello che volevo, cioè delle spiegazioni dettagliate dell'accaduto. Ho fatto capire loro quale dovrebbe essere il rapporto tra provaider e cliente, facendogli notare che non bisogna arrivare a questo per avere delle spiegazioni e che gli sarebbe bastato fornirmele quando richiesto .

Tra chiarimenti e loro scuse mi hanno detto che si è trattato di un attacco di Cross Site Scripting e di Command Injection avvenuti a causa di una versione Joomla non aggiornata.
A tal proposito, hanno installato da pochi giorni un nuovo firewall specifico per il traffico HTTP che blocca tutte le richieste URL malevole, quindi episodi del genere, salvo casi epocali, non dovrebbero più ripetersi.

Cosa ne pensate?

Ti ringrazio particolarmente Mau_develop per l'aiuto, le informazioni e i consigli che mi hai dato. :-)

[mau_develop]

hanno installato da pochi giorni un nuovo firewall specifico per il traffico HTTP
---------------------------------------------------

...ecco il vero cuore di sysadmin che emerge

vabbè dai, l'importante è essere contenti, comunque si tratterà di un ids, un fw nn capisco cosa faccia su un pacchetto http, poi basta che il pacchetto sia https che per il fw non esiste più.

Ti saluto allegandoti un pdf molto interessante, parlano due persone che in fatto di security sono molto titolati per farlo, uno tra l'altro progetta firewall.
Interesserà anche chi pensa che un fw sia la soluzione.... è solamente un pezzo, e nemmeno tanto rilevante.

il documento è stato preso qui:
http://milano.securitysummit.it/page/atti_milano_2010

M.

[allegato vecchio più di un anno eliminato automaticamente]