Attacco Denial Of Service: come si ferma?

[katiamotta]

Ciao a tutti,
ho aperto a giugno di quest'anno un sito web con Joomla 3.2.
Tutto bene fino a fine agosto quando ricevo mail da DirectAdmin che indica un consumo di banda esagerato e non corrispondente ai reali visitatori. Poi il sito viene sospeso.
Scrivo al provider e comincio a fare qualche analisi in settembre e aggiorno a 3.3.6 appena viene diramata questa versione.
Finalmente giungo alla conclusione che il mio sito è sotto attacco DOS, anzi DDOS perché trovo nei log apache tentativi di accesso da IP diversi sparsi un po' in tutto il mondo.
Ho analizzato gli IP con accessi più frequenti, li ho inseriti con un deny nel file .htaccess e la frequenza degli attacchi è stata parzialmente contenuta, ma sono sempre a limite di banda mensile (7GB) e gli attacchi continuano sempre dagli stessi IP da me bannati.
Il provider, che ho coinvolto anche perché la mia intenzione è quella di fare denuncia alla Polizia Postale e necessito di perizia anche da parte loro, dice che è Joomla che in qualche modo richiama lo script, visto che l'indirizzo IP principalmente coinvolto nell'attacco è proprio quello dove il sito è appoggiato.
Detto tra noi, a me sembra che il provider non sia esente da questo attacco...
Comunque, visto che l'attacco DDOS non sembra diminuire, come posso fare per fermarlo o ridurlo al minimo?
Come può essere che Joomla, anche nell'ultima versione disponibile, sia coinvolto in questo attacco?
Cosa devo controllare/modificare?
Grazie già da ora per il supporto
Katia

[steganoga]

sono problemi del server/provider non di joomla magari scambia qualche mail con francesco56 che trovi nei post precedenti che sembra abbia o abbia avuto un problema analogo

[mmleoni]

una risposta potrebbe essere fail2ban, ma deve provvedere il provider. ciò che va analizzato è invece perchè tu stia parlando di ddos, sicura di non essere uno zombie?

ciao,
marco

[katiamotta]

ciò che va analizzato è invece perchè tu stia parlando di ddos, sicura di non essere uno zombie?

[/size]Come faccio a sapere se sono uno zombie? Io, che di mestiere faccio altro e che cerco di gestirmi da sola il sito, avendo praticamente nessun aiuto dal provider, ho cercato info in rete per cercare di capire cosa stava succedendo alla banda del mio sito. Dalla descrizione del DDOS ho capito che poteva essere questo il caso. Di zombie non ne ho sentito parlare, se avete qualche indizio da darmi, ben volentieri. Ieri intanto ho installato l'estensione JHackGuard che mi aiuta a bloccare gli IP sospetti, ne ha trovati da sola oltre 75 in 4 ore, mentre io dai log apache ne ho inseriti altri 40 nella funzione IP Firewall.[/color]
[/size]Altri suggerimenti?[/color]

[steganoga]

ho aperto a giugno di quest'anno un sito web con Joomla 3.2.
Tutto bene fino a fine agosto quando ricevo mail da DirectAdmin che indica un consumo di banda esagerato e non corrispondente ai reali visitatori. Poi il sito viene sospeso.
Scrivo al provider e comincio a fare qualche analisi in settembre e aggiorno a 3.3.6 appena viene diramata questa versione.

tra la 3.2 e la 3.3.6 ci sono vari versioni e spesso ogni versione risolve vulnerabilità. Aggiornando te le porti dietro a meno di fortune incredibili.

Finalmente giungo alla conclusione che il mio sito è sotto attacco DOS, anzi DDOS perché trovo nei log apache tentativi di accesso da IP diversi sparsi un po' in tutto il mondo.
Ho analizzato gli IP con accessi più frequenti, li ho inseriti con un deny nel file .htaccess e la frequenza degli attacchi è stata parzialmente contenuta, ma sono sempre a limite di banda mensile (7GB) e gli attacchi continuano sempre dagli stessi IP da me bannati.

come dice marco, non saprei se è un ddos... da agosto ti stanno dossando?! ...ti stanno uccidendo a pizzicotti

Se logghi gli eventi e htaccess con la tua policy scatena un evento lui logga

Il provider, che ho coinvolto anche perché la mia intenzione è quella di fare denuncia alla Polizia Postale e necessito di perizia anche da parte loro, dice che è Joomla che in qualche modo richiama lo script, visto che l'indirizzo IP principalmente coinvolto nell'attacco è proprio quello dove il sito è appoggiato.

coinvolgi pure il provider, per il resto credimi è fantascienza a meno tu non sia Tim Cuck(old)

Detto tra noi, a me sembra che il provider non sia esente da questo attacco...

Ma se ti ha appena detto che ti hanno bucato il sito e che sei tu a crearti i problemi..

Comunque, visto che l'attacco DDOS non sembra diminuire, come posso fare per fermarlo o ridurlo al minimo?

ma se ti ha appena detto che non è un ddos ma uno script che ti hanno infilato nel sito e tu stesso lanci... i ddos mica funzionano così...

Come può essere che Joomla, anche nell'ultima versione disponibile, sia coinvolto in questo attacco?

già risposto nel primo blocco... inoltre se hai estensioni aggiuntive bisogna vedere se sono quelle la causa

il provider sicuramente avrà le sue pecche ma così non state dialogando e soprattutto non vi state capendo.

[mmleoni]

in termini più semplici: verifica che non stiano richiamando una serie di script specifici e, eventualmente, verifica il codice contenuto in questi ultimi.

[katiamotta]

Ok, ci provo.
Ma se richiamano immagini... cosa controllo?

[katiamotta]

Provo a postarvi qui lo script di una pagina che teoricamente si trova nella seguente stringa di attacco:
149.156.119.184 - - [23/Nov/2014:00:10:50 +0100] "GET /bassa-style/storie/item/23-san-prospero-sm-vendita-e-riparazione-elettrodomestici/23-san-prospero-sm-vendita-e-riparazione-elettrodomestici HTTP/1.1" 200 29858 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2b1) Gecko/20091014 Firefox/3.6b1 GTB5"

Codice: [Seleziona]

<p><strong>"Il servizio di riparazione di elettrodomestici in questa area della Bassa mancava: così abbiamo colto la palla al balzo di un'opportunità offertaci e abbiamo aperto la nostra attività un anno fa,"</strong> racconta Stefano Morandi di SM srl.</p>
<p>Stefano e l'ex collega Francesco Pedrazzi decidono di mettere in gioco le proprie competenze e si lanciano in questa nuova avventura, dopo la chiusura dell'azienda dove lavoravano da dipendenti come tecnici riparatori da più di vent'anni.</p>
<p>E con uno spirito imprenditoriale che pochi hanno, aprono a San Prospero la loro attività a settembre 2013. <strong>Un'attività che ha subito un buon successo, perché qui veramente il cliente è al centro della loro attenzione</strong>.</p>
<hr id="system-readmore" />
<p> </p>
<p>L'esperienza di diversi anni di Stefano e Francesco come riparatori infatti li ha resi profondi conoscitori del settore degli elettrodomestici, delle singole macchine con pregi e difetti: "<strong>Per noi gli elettrodomestici non hanno segreti: facciamo tesoro anche delle rotture più frequenti per poter segnalare ai clienti le marche che provano di essere le migliori perché più resistenti e più capaci di modellare i loro prodotti in base alle esigenze di chi li usa</strong>."</p>
<p>Stefano e Francesco sono sempre disponibili verso i clienti: "Capiamo benissimo cosa vuol dire rimanere a piedi improvvisamente con la lavatrice o con la lavastoviglie: per questo <strong>capita di dover rispondere al telefono alla domenica e di cercare una soluzione al volo per almeno sbloccare la situazione. Cosa che facciamo sempre volentieri, accordandoci con il cliente su cosa si può fare e in che tempi</strong>."</p>
<p>Nella loro showroom non troverete qualsiasi marca: ma<strong> troverete sicuramente le marche da loro consigliate, note o meno note al pubblico, perché sono quelle vagliate dalla loro esperienza e garantite dalla disponibilità del servizio di assistenza locale di Stefano e Francesco</strong>. </p>
<p><a href="bassa-style/protagonisti/item/10-sm-vendita-e-riparazione-elettrodomestici-san-prospero"><img src="images/cta/cta-dove.png" alt="" width="100" height="41" /></a></p>
<p><a href="http://www.pinterest.com/bassastyle/san-prospero-sm-vendita-e-riparazione-elettrodomes/" data-pin-do="embedBoard" data-pin-scale-width="115" data-pin-scale-height="120" data-pin-board-width="900">Follow Bassa Style's board San Prospero, SM - Vendita e riparazione elettrodomestici on Pinterest.</a></p>
<!-- Please call pinit.js only once per page -->
<script src="//assets.pinterest.com/js/pinit.js" async=""></script>

Notate che la parte di codice di Embed da Pinterest l'ho messa io copio-incollando dal widget di Pinterest.
Questa è la pagina sul sito: http://www.bassa-style.com/bassa-style/storie/item/23-san-prospero-sm-vendita-e-riparazione-elettrodomestici


Che ne pensate?

[steganoga]

ma che attacco è?! dove lo vedi l'attacco? quella è la comunissima visita a quella pagina.
se io clicco sul link che tu hai messo nel post verso la pagina del tuo sito tu vedi quel log, col mio ip e il mio user agent e l'url richiesto e il metodo usato: GET

[katiamotta]

Ma secondo teeeeeeeee
È mai possibile che mi sospendano il sito per esaurimento precoce della banda mentre Google Analytics in quel mese mi segna solo 60 visite?
La stringa l'ho presa a caso tra le 26mila giornaliere registrate nei log apache.

Come si dice dalle mie parti: vòla bàs e schìva i sàss...

[steganoga]

a parte che ti capisco poco, sono vecchio sai,... io sto seduto al mio pc e vedo ciò che tu mi posti e in base a quello ti rispondo...

[katiamotta]

Io ho chiesto se sapete come si ferma un attacco ddos.
Se pensate di saperlo, o di poterci arrivare, aiutatemi.
Se non è chiaro qualcosa, chiedete.
Purtroppo non ho tempo da perdere per risposte preconfezionate.

[mmleoni]

in effetti una cosa non mi è chiara: dici di non essere un'esperta di informatica e poi ti incavoli se quanlcuno contraddice la tua analisi?
certo che in questo paese è tradizione inveterata il leggere l'enciclopedia medica e poi presentarsi al dottore con la diagnosi e pretendere che scriva la ricetta  che ora la fonte della saggezza sia il forum o wikipedia non cambia molto.

vuoi fermare un ddos? già detto: fail2ban; per i casi più gravi deve essere il provider a provvedere un ids...

che ti posso dire della tua riga di log? può sembrare strana per alcuni motivi:
. ip polacco ma lingua del browser en-us
. manca il referrer
. ...
ma nessuno di questi è di per sè significativo avulso dal contesto di una analisi seria

La stringa l'ho presa a caso tra le 26mila giornaliere registrate nei log apache.

e che valenza dovrebbe avere una stringa presa a caso?? quante volte si ripete l'accesso da quell'ip? e da quell'ip con quel browsers? e da quell'ip con altri browsers?

penso però una sola cosa e concordo con steganoga: questo non è un ddos, i [d]dos sono ben altra cosa.

come si dice dalle mie parti: Ofelè fa el to mesté 

ciao

[katiamotta]

Joomla è un open source fatto per essere utilizzato anche da chi non è un informatico... giusto?
Il forum e tutta la documentazione disponibile sono fatti per questo, vero?

Bene.
Aggiungo che, se è vero quello che dite, Joomla dovrebbe essere sicuro ma forse non lo è.
In tal caso, dovrebbe essere nell'interesse di tutti quelli che si danno per competenti in materia di sicurezza sul forum approfondire un caso di cui ancora non c'è soluzione. Dovrebbe...


Il provider non mi aiuta, dice che da parte sua è tutto a posto. Ma io non gli credo perché dopo l'installazione di BotScout nel mio sito sono moltissimi gli IP che vengono bloccati in quanto già inseriti nella lista di IP con sospetta attività Bot. Cosa a cui avrebbero dovuto arrivare anche loro, visto quanto si danno per esperti...
Avrebbero potuto già bloccarli loro nel loro firewall, ammesso che sia vero che ce l'abbiano. Per questo non credo più a una parola di quello che dicono.


Mi incavolo eccome... a me non piace essere presa per il didietro, anche se non sono competente in materia.
[Anche in termini medici, ho avuto modo di scoprire sulla pelle della mia famiglia che i medici stessi non dicono la verità rispetto a quello che fanno o non fanno. Quindi essere competenti non significa essere eticamente corretti: la correttezza etica è tutta da dimostrare e non è certificabile. Mi spiace per voi.]


A mali estremi... sta a vedere che cambio provider e risolvo tutto.

[mmleoni]

joomla è sicuro quanto una macchina: se vai a sbattere perché non sai guidare la colpa non è certo di marchionne.
non ci sono scorciatoie: se vuoi stare sul web devi sapere che cosa è il web e come si affrontano i pericoli e comunque questo non è certo essere informatici.

se poi sei sicura che questo sia un ddos e pensi che sbagliamo noi, o che peggio ti stiamo prendendo in giro, beh allora io di sicuro non posso esserti di aiuto: lascio rispondere ad altri più esperti di me.

ciao