Attacco continuo

[MiPo66]

Buongiorno a tutti.
come da oggetto, volevo segnalare praticamente in tempo relae (sta succedendo adesso) e da più di 1 ora che ricevo e-mail di notifica in continuo (attualmente sia mo a circa 7000 mail) dal plug-in Marco's interceptor sql..... Credo di essere sotto attacco  :lol:  A questo punto però mi chiedo:  il Plug in avrebbe dovuto bloccare l'attacco dopo un certo numero di tentativi (io ho impostato 2). Guardando il contenuto della mail ricevuta, noto che si fa riferimento specifico a categorie e articoli (con i loro relativi ID). Il punto è che questi ID e articoli, non esistono sul mio sito. Ed ancora, alla voce REMOTE ADDR (dovrebbe esserce il riferimento all'indirizzo IP dell'attaccante), leggo un numero tipico di indirizzo MAC. E' normale anche questo? Spero in una risposta veramente celere. Grazie a tutti.
P.S. dimenticavo di aggiungere che non posso più accedere al sito tramite FTP, mozilla mi da un messaggio : sito non sicuro, accesso FTP negato.

di seguito il testo delle mail

** Union Select [GET:amp;page] =>  -6863 union all select CONCAT(0x3a6f79753a,0x4244764877697569706b,0x3a70687a3a),1%23
** Union Select [REQUEST:amp;page] =>  -6863 union all select CONCAT(0x3a6f79753a,0x4244764877697569706b,0x3a70687a3a),1%23

**PAGE / SERVER INFO


*REMOTE_ADDR :
2a01:4f8:a0:90cd::2

*REQUEST_METHOD :
GET

*QUERY_STRING :
view=article&amp%3bid=53:welcome&amp%3btmpl=component&amp%3bprint=1&amp%3blayout=default&amp%3bpage=+-6863+union+all+select+CONCAT(0x3a6f79753a,0x4244764877697569706b,0x3a70687a3a),1%2523



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[view] => article
 -[amp;id] => 53:welcome
 -[amp;tmpl] => component
 -[amp;print] => 1
 -[amp;layout] => default
 -[amp;page] =>  -6863 -- CONCAT(0x3a6f79753a,0x4244764877697569706b,0x3a70687a3a),1%23


*$_POST DUMP


*$_COOKIE DUMP


*$_REQUEST DUMP
 -[view] => article
 -[amp;id] => 53:welcome
 -[amp;tmpl] => component
 -[amp;print] => 1
 -[amp;layout] => default
 -[amp;page] =>  -6863 -- CONCAT(0x3a6f79753a,0x4244764877697569706b,0x3a70687a3a),1%23

[X-mac]

Manda una email all'host spiegando la situazione, ti forniranno gli ip da dove ti attaccano e li blocchi da htaccess

[tomtomeight]

Quelli non sono mac address ma indirizzi ip deltipo ipv6.

[MiPo66]

Innanzitutto grazie ad entrambi per aver risposto.

Manda una email all'host spiegando la situazione, ti forniranno gli ip da dove ti attaccano e li blocchi da htaccess

dubito che si prenderanno la briga di perdere qualche secondo della loro vita per darmi questa informazione, del resto la loro risposta politica è: per quello che paghi, non possiamo perdere tempo ad analizzare il tuo sito. Risposta già ricevuta in altre occasione come ad esempio: sito off line ogni 2 giorni pur avando reinstallato e riscritto il sito da zero.

Manda una email all'host spiegando la situazione, ti forniranno gli ip da dove ti attaccano e li blocchi da htaccess

non avevo pensato a questa ipotesi, forse ingannato anche dal fatto che un indirizzo ipv6 è molto ma molto più lungo di quello che vedo nella mail. Inserendo comunque l'indirizzo in google, ci sono varie corrispondenze con quello che mi dici. A questo punto vorrei tirare in ballo Marco (mmeloni) con il suo Plug-in (ovviamente non per rimproverarlo), ma solo per chiedergli se esiste un aggiornamento che tenga in considerazione anche questa possibilità.
Ancora grazie a tutti per la risposta.
P.S. dimenticavo: l'attacco di ieri è durato dalle 11:05 alle 16:44, ho ricevuto 7454 e-mail di notifica Ho vinto qualcosa?

[X-mac]

Io non so il tuo host che politica abbia, a me è successo tempo fa con un host straniero di pochi euro / anno e  su una cosa simile si sono dimostrati molto collaborativi, anche perché il rischio di infettare anche il resto del server é grande

[MiPo66]

Innanzitutto grazie ad entrambi per aver risposto. dubito che si prenderanno la briga di perdere qualche secondo della loro vita per darmi questa informazione, del resto la loro risposta politica è: per quello che paghi, non possiamo perdere tempo ad analizzare il tuo sito. Risposta già ricevuta in altre occasione come ad esempio: sito off line ogni 2 giorni pur avando reinstallato e riscritto il sito da zero. non avevo pensato a questa ipotesi, forse ingannato anche dal fatto che un indirizzo ipv6 è molto ma molto più lungo di quello che vedo nella mail. Inserendo comunque l'indirizzo in google, ci sono varie corrispondenze con quello che mi dici. A questo punto vorrei tirare in ballo Marco (mmeloni) con il suo Plug-in (ovviamente non per rimproverarlo), ma solo per chiedergli se esiste un aggiornamento che tenga in considerazione anche questa possibilità.
Ancora grazie a tutti per la risposta.
P.S. dimenticavo: l'attacco di ieri è durato dalle 11:05 alle 16:44, ho ricevuto 7454 e-mail di notifica Ho vinto qualcosa?

Evidentemente anche se a pochi euro, sono persone intelligenti. Quando ho provato a far presente al mio host che il pericolo era per tutti, la loro risposta è stata: per questo ci riserviamo la facoltà di sospendere il sito, per salvaguardare chi non ha colpe. Come se io facessi parte di una organizzazione terroristica . L'host in questione, che non cito per non infrangere le regole del forum, è italiano.

[X-mac]

Cambia host

[steganoga]

e in quale host non ti sospendono il sito se può essere dannoso per altri?
in quale host se hai un problema col sito e non hai un contratto di assistenza ti sistemano le cose?

...ditemi che lo uso anch'io per i miei clienti, sono stufo di risolvere i loro problemi quando usano estensioni vulnerabili o non aggiornano qualcosa.

[MiPo66]

Cambia host

Concordo con te, nessun host ti presta assistenza senza un contratto specifico e quindi sotto relativo compenso. Però c'è sempre l'altro lato della medaglia.
Se un sito viene attaccato e messo off-line dall'host per i motivi che sappiamo, il webmaster riceve dall'host l'e-mail in cui si comunica di provvedere alla messa in sicurezza del sito (e qui cominciano i dubbi, visto che il sito era aggiornato su tutto, sia core che componenti). Il webmaster, approfittando di questa occasione, ricostruisce il sito da zero, quindi una nuova versione di joomla (l'ultima disponibile al momento, ad esempio la 3.3), riscrive tutti gli articoli anzichè importarli dal vecchio database (al limite un copia ed incolla del testo) e dopo neanche un mese l'host gli rimanda nuovamente l'e-mail che il sito è stato sospeso. Armato di santissima pazienza, il webmaster procede nuovamente a rifare tutto, pensando di aver commesso un errore. Terminato nuovamente il lavoro, dopo soli 2 giorni, ripeto: 2 giorni, sito nuovamente sospeso.
Credi veramente che l'host non ha nessuna responsabilità?
Come già scritto precedentemente, è giusta la sospensione del sito per evitare problemi ad altri, ma è anche giusto che l'host deve... ripeto DEVE, impegnarsi per capire dov'è il problema. Non può e non dovrebbe addossare la colpa solo al webmaster scaricando le proprie responsabilità.
Evidentemente ci sono altre lacune, forse (come letto in un post qui sul forum) dipende dall'indirizzo IP della macchina su cui è ospitato il sito) ma non deve certo essere il webmaster a dire questo.
Magari, se i tecnici dell'host dedicavano qualce minuto in più a capire qual'è il problema (anzichè perdere tempo nel rispondere al ticket aperto in assistenza con le classiche frasi: per quello che paghi non abbiamo tempo da perdere), avrebbero risolto il problema di molti utenti. Di sicuro non sono stato il primo e non sarò neanche l'ultimo che si è trovato in situazioni simili.

[MiPo66]

Cambia host

L'idea, presa in considerazione, è la più sensata e ho sentito telefonicamente alcuni gestori.
Però è da considerare anche i costi (capisco che qui sembra aver a che fare con chi vuole la botte piena e la moglie ubriaca), ma se i siti gestiti sono di clienti, il problema è superabile, la differenza del costo dell'host va caricata sul proprietario del sito.
Nel mio caso che gestisco 5 siti (uno personale, uno della mia associazione di volontariato e 3 dei progetti dell'associazione), significa sborsare personalmente tutti i costi senza che rientri un cent. Passare quindi da 10 euro all'anno per sito a 60 all'anno di un'altro host, fa la differenza.
Se hai nomi da suggerirmi, sono ben accetti. In questi giorni ho alcuni domini in scadenza e potrei approfittarne per cambiare manteiner.

[steganoga]

Concordo con te, nessun host ti presta assistenza senza un contratto specifico e quindi sotto relativo compenso. Però c'è sempre l'altro lato della medaglia.
Se un sito viene attaccato e messo off-line dall'host per i motivi che sappiamo, il webmaster riceve dall'host l'e-mail in cui si comunica di provvedere alla messa in sicurezza del sito (e qui cominciano i dubbi, visto che il sito era aggiornato su tutto, sia core che componenti). Il webmaster, approfittando di questa occasione, ricostruisce il sito da zero, quindi una nuova versione di joomla (l'ultima disponibile al momento, ad esempio la 3.3), riscrive tutti gli articoli anzichè importarli dal vecchio database (al limite un copia ed incolla del testo) e dopo neanche un mese l'host gli rimanda nuovamente l'e-mail che il sito è stato sospeso. Armato di santissima pazienza, il webmaster procede nuovamente a rifare tutto, pensando di aver commesso un errore. Terminato nuovamente il lavoro, dopo soli 2 giorni, ripeto: 2 giorni, sito nuovamente sospeso.
Credi veramente che l'host non ha nessuna responsabilità?

Non so se l'host è responsabile ma solitamente è facile capirlo perchè se sei su un host condiviso e la colpa è dell'hoster facilmente tutti i siti sul server sono compromessi e non credo sia questo il caso.

Penso solo tu non sia riuscito ad eliminare il problema, anche perchè COME DETTO CHIARAMENTE nei post in evidenza il problema potresti essere tu, il tuo pc o qualcosa nella tua rete che lo re-infetta

[X-mac]

Non si può parlare di servizi commerciali dentro il forum, in ogni caso ognuno ha le sue personali esperienze. Io mi trovo bene con un host italiano abbastanza famoso, un mio collega non ne vuol sentir parlare di questa azienda perché ha avuto problemi con i ticket etc.
Controlla come dice steganoga che non sia un problema legato al tuo pc.

[MiPo66]

Non so se l'host è responsabile ma solitamente è facile capirlo perchè se sei su un host condiviso e la colpa è dell'hoster facilmente tutti i siti sul server sono compromessi e non credo sia questo il caso.

Penso solo tu non sia riuscito ad eliminare il problema, anche perchè COME DETTO CHIARAMENTE nei post in evidenza il problema potresti essere tu, il tuo pc o qualcosa nella tua rete che lo re-infetta

Ovviamente è una ipotesi plausibile che ho preso anche in considerazione e sono sicuro che questo tipo di problema è da scartare. Infatti, dopo aver litigato di brutto con l'host, sono diversi mesi che il problema non si è più presentato (attacco a parte degli ultimi giorni che, almeno fino ad ora, non ha comportato nessun problema).
Giusta anche la tua osservazione quando dici che su un host condiviso tutti avrebbero lo stesso problema: ma chi ci dice che effettivamente sono solo io ad avere questo problema? L'host di certo se ne guarderà bene dal renderlo pubblico.
Ed ancora, la prima cosa che ho fatto a suo tempo è stato leggere i post in evidenza, proprio per capire cosa potesse aver creato quel tipo di problema (approfittando di questa occasione ho eliminato tutto il superfluo, quindi tutti plug-in, moduli e componenti non più usati sono stati eliminati). Ed infine... come ho scritto nel post principale, ho rifatto il sito da zero, tutto nuovo (template, versione di joomla, database, moduli ecc.. ecc..): come avrei potuto infettare nuovamente una installazione pulita di joomla?
Comunque sia, spero che il problema si sia risolto definitivamente.
Grazie della collaborazione e se hai qualche ulteriore consiglio, magari su cosa fare "durante l'attacco", sarebbe gradito.

[MiPo66]

Non si può parlare di servizi commerciali dentro il forum, in ogni caso ognuno ha le sue personali esperienze. Io mi trovo bene con un host italiano abbastanza famoso, un mio collega non ne vuol sentir parlare di questa azienda perché ha avuto problemi con i ticket etc.
Controlla come dice steganoga che non sia un problema legato al tuo pc.

Infatti, come avrete notato, non ho scritto il nome dell'host. Le regole del forum vanno rispettate da tutti.
Grazie della collaborazione anche a te e se hai qualche ulteriore consiglio, magari su cosa fare "durante l'attacco", sarebbe gradito.

[X-mac]

Non voleva essere una critica o un rimprovero a non parlare di serivizi a pagamento, solo che non posso esprimermi e comunque anche potendo, ripeto ognuno ha la sua personale esperienza.
Riguardo gli attacchi io butterei giù subito il sito. Capisco che 10 euro contro 60 sono un impegno, ma quanto spendi per gestire sti attacchi?
Se permetti ti racconto una storia accaduta a una mia cliente: Doveva cambiare casa e si fà fare preventivi di trasloco da ditte Italiane + un paio di ditte gestite da stranieri che si affacciano sull'adriatico. Essendoci una differenza di prezzo tra stranieri ed italiani, la tipa opta per i servizi dei ragazzi stranieri, infamando le ditte italiane, tacciandole di avidità. Risultato mobili rubati, ditta inesistente etc.
Per poco si ottinene poco. Visto che alcuni siti riguardano una associazione magari 30/40 euro l'anno tra i soci si riescono a recuperare. Il tutto detto senza nessuna polemica, so bne che è difficile stare nel sociale.

[MiPo66]

Non voleva essere una critica o un rimprovero a non parlare di serivizi a pagamento, solo che non posso esprimermi e comunque anche potendo, ripeto ognuno ha la sua personale esperienza.
Riguardo gli attacchi io butterei giù subito il sito. Capisco che 10 euro contro 60 sono un impegno, ma quanto spendi per gestire sti attacchi?
Se permetti ti racconto una storia accaduta a una mia cliente: Doveva cambiare casa e si fà fare preventivi di trasloco da ditte Italiane + un paio di ditte gestite da stranieri che si affacciano sull'adriatico. Essendoci una differenza di prezzo tra stranieri ed italiani, la tipa opta per i servizi dei ragazzi stranieri, infamando le ditte italiane, tacciandole di avidità. Risultato mobili rubati, ditta inesistente etc.
Per poco si ottinene poco. Visto che alcuni siti riguardano una associazione magari 30/40 euro l'anno tra i soci si riescono a recuperare. Il tutto detto senza nessuna polemica, so bne che è difficile stare nel sociale.

E' sott'inteso che si parla di esperienze personali e non si fanno critiche o rimproveri. Tranquillo, ho capito in pieno il tuo discorso.
Cosa intendi con: "butterei giù subito il sito"? metterlo off line da pannello di controllo facendo uscire la pagina di manutenzione? Ci ho provato, ma senza risultato tangibile.

[steganoga]

ma chi ci dice che effettivamente sono solo io ad avere questo problema?

te stesso, una volta capito quali sono dovrebbero comportarsi come il tuo... almeno qualcuno... via uno almeno si ...
https://www.google.it/search?q=siti+sullo+stesso+server

come avrei potuto infettare nuovamente una installazione pulita di joomla?

te l'ho detto e c'è scritto negli articoli in evidenza, ci sono vari malware che infettano il browser e i servizi ftp sul tuo pc o su quelli della tua rete

io non sto sostenendo che l'hosting non abbia problemi, ..ma ce ne potrebbero essere così tanti prima....

[MiPo66]

te l'ho detto e c'è scritto negli articoli in evidenza, ci sono vari malware che infettano il browser e i servizi ftp sul tuo pc o su quelli della tua rete

concordo, ma come ho detto nel primo post, se sono io ad essere infetto (browser, ftp ecc..) perchè il problema è solo su un dominio e non su tutti? Ecco perchè continuo ad insistere sul discorso hosting. Ovviamente potrei anche sbagliarmi ed è per questo che mi confronto con voi.

[steganoga]

ma il sito in questione è quello che hai in firma?

[MiPo66]

ma il sito in questione è quello che hai in firma?

Il sito che ho in firma ha avuto gli stessi problemi la scorsa estate, mentre il riferimento all'attacco di qualche giorno fa è su un'altro sito.