Autore Topic: [RISOLTO] Attacco DOS (era Sito bucato e disattivato) (Letto 7957 volte)

Daniele Pinna · « **il:** 10 Mar 2017, 17:45:49 »

Salve a tutti :-)

Mi è appena arrivata una mail da "DDOS Crew" che mi informava che il mio sitè è stato reso irraggiungibile e mi chiedono un pagamento di 200 € in Bitcon...

Ovviamente ho il BackUp sia giornaliero del server sia di akeeba di gennaio e ottobre.
Probabilmente c'è qualche estensione che è stata rilasciata di recente e non ho aggiornato in questi giorni...

La cosa curiosa è che hanno usato la form di un altro mio sito per mandarmi la info per il pagamento...

Appena avrò maggiori info aggiorno il post...

Nel frattempo fate i BackUp e scaricateli in locale

Edit:
Ho modificato il Titolo in "Attacco DOS (era Sito bucato e disattivato)"

alexred · « **Risposta #1 il:** 10 Mar 2017, 17:51:16 »

azz.... agghiacciante

tomtomeight · « **Risposta #2 il:** 10 Mar 2017, 18:27:53 »

Ransomware anche per i siti?

giusebos · « **Risposta #3 il:** 10 Mar 2017, 19:06:07 »

si io gli dare 200 pedate su per il fondoschiena.

Settimana scorsa un mio amico va giù in sud italia, non dico città tanto per evitare luoghi comuni.
Macchina nuova di 6 mesi fatta sparire con carro attrezzi, riceve telefonata (chi gli ha dato il numero!?!): se vuoi rivedere la tua auto porta 1000 euro in un certo posto.

Macchina recuperata dopo poche ore, perfetta come l'aveva lasciata ma in un posto lontano 50 km.

ma in che direzione sta andando questo mondo?

Ahmed Salvini · « **Risposta #4 il:** 10 Mar 2017, 19:09:08 »

chi fa una cosa del genere deve aver fumato parecchio, serve a nulla

Daniele Pinna · « **Risposta #5 il:** 10 Mar 2017, 20:32:35 »

Citazione da: tomtomeight - 10 Mar 2017, 18:27:53

Ransomware anche per i siti?

Probabilmente si, l'hosting ha disattivato il sito perché stava generando troppo traffico, quindi in effetti non so che effetti ci sono stati sul sito.
Però hanno minacciato anche l'altro mio sito (quello principale) e se non pago entro il 12 marzo verrà attaccato anche quello e la cifra salirà a 450 €

Ora mi assale un dubbio... che il mio sito principale sia già infetto...

giusebos · « **Risposta #6 il:** 10 Mar 2017, 20:50:02 »

evidentemente hanno trovato una falla.

I siti sono nello stesso hosting, hanno uno spazio condiviso?

Se sono in hosting diversi potrebbe essere probabile che tu abbia una estensione non aggiornata o in qualche maniera "non sana" che viene usata come cavallo di troia.

E comunque fai una denuncia alla polizia postale.

Daniele Pinna · « **Risposta #7 il:** 10 Mar 2017, 20:55:24 »

I siti sono nello stesso Hosting, ma il mio principale l'ho spostato già sul mio VPS, l'altro avevo rimandato per motivi di tempo...

E quando ho fatto il post ricordavo di averlo spostato... invece no... ho solo i Backup di Akeeba.

Daniele Pinna · « **Risposta #8 il:** 10 Mar 2017, 21:17:08 »

Humm...
fra le cartelle del sito bucato ho trovato una vecchia installazione di Joomla! 2.5.qualcosa che avevo fatto per test e che usava lo stesso database...

Spero che il tutto sia scaturito da li e non da altre vulnerabilità...

Daniele Pinna · « **Risposta #9 il:** 10 Mar 2017, 23:06:01 »

Sto analizzando i file di Log del server per trovare qualche cosa di strano o anomalo.

L'unica cosa "anomala" è una serie stermimata di errori provenienti da un unico IP (Egitto)... che poi passa ad un altro IP (Nodo Tor) e un altro Ip Ancora che cercava di accedere all'Amministrazione... ma solo 12 tentativi (Ukraina).

I primi 2 IP saranno stati oltre 10000 tentativi di accesso e il log mi segna qualcosa tipo questo:

Citazione

Errore 503 GET /?vq0nVC=fy36Q&RjyC=V3oOtedQG&QDRRbbOFAN=doxc7BmVelQ HTTP/1.1
Errore 503 GET /?vq0nVC=fy36Q&RjyC=V3oOtedQG&QDRRbbOFAN=doxc7BmVelQ HTTP/1.1
Errore 503 GET /?j65rRSBy6=pYHLAuaXbSq&5ffdr=Y0LF1VryXWMgVI&465e=xYXWwsObRM1&Hqp3U=EjA5OA6kU8nDh&tVQJTDd7o=Y7k5 HTTP/1.1
Errore 503 GET /?GM0pfnDctp=IFuY0XecQl&4e54mvqYN=DVOpGOm3LQPIvjt HTTP/1.1

A quel punto penso che l'hosting abbia sospeso il dominio per l'eccesso di traffico anomalo...
Quindi forse (ripeto FORSE) non c'è stata una vera e propria infezione...

Se fosse confermato servirebbe una sorta di "Firewall"... devo capire meglio com sfruttare Akeeba Admin Tools.

tomtomeight · « **Risposta #10 il:** 11 Mar 2017, 07:03:18 »

Scusa ma allora il sito lo ha disattivato l'hoster o il pirata?

Daniele Pinna · « **Risposta #11 il:** 11 Mar 2017, 10:12:02 »

Il sito è stato disattivato dall'Hosting a causa di un elevato traffico:

Citazione

il suo dominio è stato bloccato in quanto risultavo generare del carico all'interno del server di residenza. Possiamo procedere allo sblocco dello stesso, ma la invitiamo a verificare che non vi siano errori a livello di applicativo che generino il carico rilevato, altrimenti verrà posto nuovamente il blocco sullo stesso

Ho spostato tutto in una sottocartella con nome casuale (quindi non facilemente identificabile per un nuovo attacco) e ho messo un semplice html per il sito offline, quindi ho chiesto la riattivazione.

Una volta riattivato sono riuscito ad entrare nel sito ed era tutto OK, non c'erano utenti anomali (il sito è poco visitato e non ha utenti)... L'ho messo comunque OFFLine e rinominato di nuovo la cartella con lettere casuali.

Allego uno screeshoot dell'email che mi è arrivata (ho censurato i dati).

alexred · « **Risposta #12 il:** 11 Mar 2017, 10:33:45 »

cavoli... è anche in italiano

Hai provato a contattare la polizia postale o i carabinieri, questo pare un tentativo di estorsione.

Daniele Pinna · « **Risposta #13 il:** 11 Mar 2017, 10:42:46 »

Ancora no...
certamente farò la segnalazione alla polizia postale...

marine · « **Risposta #14 il:** 11 Mar 2017, 13:34:56 »

Nella lettera mi ha sorpreso l'espressione "denaro dovuto", interessante scelta linguistica!
Avrebbero potuto scrivere semplicemente "denaro" o "denaro richiesto", mi piacerebbe capire il perchè del "dovuto", anche perchè non sembra minimamente una traduzione automatica.

Ahmed Salvini · « **Risposta #15 il:** 11 Mar 2017, 15:40:13 »

non fanno nulla e mandano email alla caxo. Crittare joomla è da dementi.
Sono gli stessi di qs https://twitter.com/Spazioalchimia/status/773492422382850048
Inoltre la cifra richiesta non ha corrispondenze con le migliaia di euro solitamente chieste, cifra per la quale vale la pena di fare tutto qs sbattimento.

Con pochi dollari lo puoi fare anche tu e molto più serio comprando un accesso a un cpanel che ha bisogno solo di url; ha anche una comoda gestione dei vari ransom

https://www.theregister.co.uk/2015/12/15/moonfruit_ddos_armada_crew_attack/

Daniele Pinna · « **Risposta #16 il:** 12 Mar 2017, 09:16:17 »

Citazione da: Ahmed Salvini - 11 Mar 2017, 15:40:13

non fanno nulla e mandano email alla caxo. Crittare joomla è da dementi.

Il problema è un altro e l'ho capito questa notte :-(

Non cercano di crittare Joomla! ma di mandare in Tilt il server per cui l'hosting è costretto a sospendere il dominio, per non caricare troppo il server.

Ecco un Aggiornamento sull'Attacco al Server Web...
Avrebbero dovuto attaccare oggi dopo le 23.59, invece hanno iniziato un giorno prima.
Pensavo di essere pronto, protezioni attivate, aggiornamenti fatti... server OK... "scudi alzati", ma l'attacco era troppo imponente...
Ne Fail2ban ne il firewall con le impostazioni base riuscivano a bloccare nulla... e come mettevo un IP in blocco (manualmente) ne saltava fuori un altro... e poi un altro... e così via.
Intorno alle 2 ho dovuto disattivare il dominio, riuscendo a far respirare il server... (che veniva caricato in media al 95% durante gli attacchi)... ma cmq gli attacchi continuavano.
Hanno terminato verso le 4, forse quando hanno rilevato che stavo riusciendo a bloccarli con le regole de firewall di virtuozzo (l'ambiente su cui gira il mio VPS).
E' stato cmq un bagno di sangue :-(
Ora devo capire cosa cavolo c'è che non va nel firewall normale e in fail2ban che non mette in automatico l'IP in blocco dopo un tot di tentativi con errore...

giusebos · « **Risposta #17 il:** 12 Mar 2017, 10:44:49 »

Citazione da: marine - 11 Mar 2017, 13:34:56

Nella lettera mi ha sorpreso l'espressione "denaro dovuto", interessante scelta linguistica!
Avrebbero potuto scrivere semplicemente "denaro" o "denaro richiesto", mi piacerebbe capire il perchè del "dovuto", anche perchè non sembra minimamente una traduzione automatica.

vero, ci sono una sacco di errori grammaticali che non sono dovuti ad una traduzione automatica, sembra un testo scritto da chi ha delle buone conoscenze di italiano parlato e traduce in italiano la parola straniera nel suo equivalente significato, quindi non stare ad analizzare la scelta delle parole perchè ha poco senso.

Forse questi tizi al massimo sanno fare un attacco DDoS, pure io nel mio sito (come tantissimi altri) ricevo questo tipo di attacchi continuamente, ma su questo genere di attacchi non puoi farci nulla, e difficilmente sono in quantità tale da bloccare il server......sono sicuro che qualcuno sta giocando al piccolo haker.

Daniele Pinna · « **Risposta #18 il:** 12 Mar 2017, 11:15:21 »

La CPU del VPS va sui 97% quindi in effetti lo sta rallendando... :-(

Sto bloccando IP su Ip...
Sto facendo un blocco geografico con Admin Tools escludendo solo l'italia...

Il problema è che le richieste che fanno al server non riguardno Joomla! direttamente ma credo Apache...

Ecco un esempio di richieste:

Citazione

2017-03-12 11:08:22 Error 37.187.129.166 503 GET /?6BR68=CNgTlIbHaa3U&EcKMvGMPkw=FL6&kdJ=InoQqP&EXxXtYp=7IwK3aVMkQAJC7V4xBg HTTP/1.0 Mozilla/5.0 (Windows; U; MSIE 6.1; Macintosh; Trident/4.0; Intel Mac OS X 10_5_1) 1.55 K Accesso SSL/TLS Apache
2017-03-12 11:08:22 Error 37.187.129.166 503 GET /?e4C0KVb=mgiB2YYuYesi1&HJX=WnDWN0Jfpx6llDfrAml5&52Y4Rkr6=cXoUioEx7&caa3vjbwL7=C6jjFKFnd7RqmpWS&wpVcY=f5otj8os HTTP/1.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_1) Gecko/20050702 Firefox/17.0 1.55 K Accesso SSL/TLS Apache
2017-03-12 11:08:22 Error 37.187.129.166 503 GET /?rhymI5w3=oGDD6PwOVWskjAK&QODQbMX=qN4i HTTP/1.0 Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.3; .NET CLR 3.0.17452; Win64; x64) 1.55 K Accesso SSL/TLS Apache
2017-03-12 11:08:22 Error 37.187.129.166 503 GET /?aVt5=KyAxClGeh6&fTYd3=nPGOnQGc HTTP/1.0 Mozilla/5.0 (Linux x86_64; X11) AppleWebKit/536.16 (KHTML, like Gecko) Version/6.1.5 Safari/535.14 1.55 K Accesso SSL/TLS Apache
2017-03-12 11:08:22 Error 37.187.129.166 503 GET /?rjoCbO2=E1pSSMD6fp1esWX4&WF2RUHNBJd=lnLmMg3Cj HTTP/1.0 Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.16 (KHTML, like Gecko) Chrome/13.0.1075.36 Safari/536.11 1.55 K Accesso SSL/TLS Apache
2017-03-12 11:08:22 Error 37.187.129.166 503 GET /?Hdo7kn=0BFrh&Hft=Yp1AxYYrvD&jrmlY=X8UY6wk5hO HTTP/1.0 Mozilla/5.0 (Windows; U; MSIE 7.0b; Windows NT 5.1; Trident/5.0; WOW64) 1.55 K Accesso SSL/TLS Apache

Ora ho disattivato il dominio :-(

Daniele Pinna · « **Risposta #19 il:** 12 Mar 2017, 17:42:27 »

Le ultime 2 ore sono state terribili...

Alla fine ho dovuto mettere offlline di nuovo il mio sito e cercare di sistemare fail2ban (che dovrebbe mettere in blacklist gli IP di chi attacca dopo un tot di errori) che però non stava funzionando...

Alla fine è andato in titlt una parte del server (apache + nginx) blocando persino la posta in uscita, causato da un problema con l'IPv6, risolto eliminando l'IP...

Ho anche scoperto che stavano cercando di entrare tramite SSH provando vari user e password. Ovviamente ho cambiato la user predefintia (root) e la password è lunghetta :-)
Ma anche li, fail2ban (nato proprio come protezione per SSH) non ha fatto il suo dovere $:-\$