[RISOLTO] Attacco DOS (era Sito bucato e disattivato)

[Daniele Pinna]

Salve a tutti :-)

Mi è appena arrivata una mail da "DDOS Crew" che mi informava che il mio sitè è stato reso irraggiungibile e mi chiedono un pagamento di 200 € in Bitcon...

Ovviamente ho il BackUp sia giornaliero del server sia di akeeba di gennaio e ottobre.
Probabilmente c'è qualche estensione che è stata rilasciata di recente e non ho aggiornato in questi giorni...

La cosa curiosa è che hanno usato la form di un altro mio sito per mandarmi la info per il pagamento...

Appena avrò maggiori info aggiorno il post...

Nel frattempo fate i BackUp e scaricateli in locale


Edit:
Ho modificato il Titolo in "Attacco DOS (era Sito bucato e disattivato)"

[alexred]

azz....   agghiacciante   

[tomtomeight]

Ransomware anche per i siti?

[giusebos]

si io gli dare 200 pedate su per il fondoschiena.

Settimana scorsa un mio amico va giù in sud italia, non dico città tanto per evitare luoghi comuni.
Macchina nuova di 6 mesi fatta sparire con carro attrezzi, riceve telefonata (chi gli ha dato il numero!?!): se vuoi rivedere la tua auto porta 1000 euro in un certo posto.

Macchina recuperata dopo poche ore, perfetta come l'aveva lasciata ma in un posto lontano 50 km.

ma in che direzione sta andando questo mondo?

[Ahmed Salvini]

chi fa una cosa del genere deve aver fumato parecchio, serve a nulla

[Daniele Pinna]

Ransomware anche per i siti?

Probabilmente si, l'hosting ha disattivato il sito perché stava generando troppo traffico, quindi in effetti non so che effetti ci sono stati sul sito.
Però hanno minacciato anche l'altro mio sito (quello principale) e se non pago entro il 12 marzo verrà attaccato anche quello e la cifra salirà a 450 €

Ora mi assale un dubbio... che il mio sito principale sia già infetto...

[giusebos]

evidentemente hanno trovato una falla.

I siti sono nello stesso hosting, hanno uno spazio condiviso?

Se sono in hosting diversi potrebbe essere probabile che tu abbia una estensione non aggiornata o in qualche maniera "non sana" che viene usata come cavallo di troia.

E comunque fai una denuncia alla polizia postale.

[Daniele Pinna]

I siti sono nello stesso Hosting, ma il mio principale l'ho spostato già sul mio VPS, l'altro avevo rimandato per motivi di tempo...

E quando ho fatto il post ricordavo di averlo spostato... invece no... ho solo i Backup di Akeeba.

[Daniele Pinna]

Humm...
fra le cartelle del sito bucato ho trovato una vecchia installazione di Joomla! 2.5.qualcosa che avevo fatto per test e che usava lo stesso database...

Spero che il tutto sia scaturito da li e non da altre vulnerabilità...

[Daniele Pinna]

Sto analizzando i file di Log del server per trovare qualche cosa di strano o anomalo.

L'unica cosa "anomala" è una serie stermimata di errori provenienti da un unico IP (Egitto)... che poi passa ad un altro IP (Nodo Tor) e un altro Ip Ancora che cercava di accedere all'Amministrazione... ma solo 12 tentativi (Ukraina).


I primi 2 IP saranno stati oltre 10000 tentativi di accesso e il log mi segna qualcosa tipo questo:

Errore 503    GET /?vq0nVC=fy36Q&RjyC=V3oOtedQG&QDRRbbOFAN=doxc7BmVelQ HTTP/1.1
Errore 503    GET /?vq0nVC=fy36Q&RjyC=V3oOtedQG&QDRRbbOFAN=doxc7BmVelQ HTTP/1.1
Errore 503    GET /?j65rRSBy6=pYHLAuaXbSq&5ffdr=Y0LF1VryXWMgVI&465e=xYXWwsObRM1&Hqp3U=EjA5OA6kU8nDh&tVQJTDd7o=Y7k5 HTTP/1.1
Errore 503    GET /?GM0pfnDctp=IFuY0XecQl&4e54mvqYN=DVOpGOm3LQPIvjt HTTP/1.1

A quel punto penso che l'hosting abbia sospeso il dominio per l'eccesso di traffico anomalo...
Quindi forse (ripeto FORSE) non c'è stata una vera e propria infezione...


Se fosse confermato servirebbe una sorta di "Firewall"... devo capire meglio com sfruttare Akeeba Admin Tools.

[tomtomeight]

Scusa ma allora il sito lo ha disattivato l'hoster o il pirata?

[Daniele Pinna]

Il sito è stato disattivato dall'Hosting a causa di un elevato traffico:

il suo dominio è stato bloccato in quanto risultavo generare del carico all'interno del server di residenza. Possiamo procedere allo sblocco dello stesso, ma la invitiamo a verificare che non vi siano errori a livello di applicativo che generino il carico rilevato, altrimenti verrà posto nuovamente il blocco sullo stesso

Ho spostato tutto in una sottocartella con nome casuale (quindi non facilemente identificabile per un nuovo attacco) e ho messo un semplice html per il sito offline, quindi ho chiesto la riattivazione.

Una volta riattivato sono riuscito ad entrare nel sito ed era tutto OK, non c'erano utenti anomali (il sito è poco visitato e non ha utenti)... L'ho messo comunque OFFLine e rinominato di nuovo la cartella con lettere casuali.

Allego uno screeshoot dell'email che mi è arrivata (ho censurato i dati).

[alexred]

cavoli...  è anche in italiano 
Hai provato a contattare la polizia postale o i carabinieri, questo pare un tentativo di estorsione.

[Daniele Pinna]

Ancora no...
certamente farò la segnalazione alla polizia postale...

[marine]

Nella lettera mi ha sorpreso l'espressione "denaro dovuto", interessante scelta linguistica!
Avrebbero potuto scrivere semplicemente "denaro" o "denaro richiesto", mi piacerebbe capire il perchè del "dovuto", anche perchè non  sembra minimamente una traduzione automatica.

[Ahmed Salvini]

non fanno nulla e mandano email alla caxo. Crittare joomla è da dementi.
Sono gli stessi di qs https://twitter.com/Spazioalchimia/status/773492422382850048
Inoltre la cifra richiesta non ha corrispondenze con le migliaia di euro solitamente chieste, cifra per la quale vale la pena di fare tutto qs sbattimento.

Con pochi dollari lo puoi fare anche tu e molto più serio comprando un accesso a un cpanel che ha bisogno solo di url; ha anche una comoda gestione dei vari ransom

https://www.theregister.co.uk/2015/12/15/moonfruit_ddos_armada_crew_attack/

[Daniele Pinna]

non fanno nulla e mandano email alla caxo. Crittare joomla è da dementi.

Il problema è un altro e l'ho capito questa notte :-(

Non cercano di crittare Joomla! ma di mandare in Tilt il server per cui l'hosting è costretto a sospendere il dominio, per non caricare troppo il server.


Ecco un Aggiornamento sull'Attacco al Server Web...
Avrebbero dovuto attaccare oggi dopo le 23.59, invece hanno iniziato un giorno prima.
Pensavo di essere pronto, protezioni attivate, aggiornamenti fatti... server OK... "scudi alzati", ma l'attacco era troppo imponente...
Ne Fail2ban ne il firewall con le impostazioni base riuscivano a bloccare nulla... e come mettevo un IP in blocco (manualmente) ne saltava fuori un altro... e poi un altro... e così via.
Intorno alle 2 ho dovuto disattivare il dominio, riuscendo a far respirare il server... (che veniva caricato in media al 95% durante gli attacchi)... ma cmq gli attacchi continuavano.
Hanno terminato verso le 4, forse quando hanno rilevato che stavo riusciendo a bloccarli con le regole de firewall di virtuozzo (l'ambiente su cui gira il mio VPS).
E' stato cmq un bagno di sangue :-(
Ora devo capire cosa cavolo c'è che non va nel firewall normale e in fail2ban che non mette in automatico l'IP in blocco dopo un tot di tentativi con errore...
 

[giusebos]

Nella lettera mi ha sorpreso l'espressione "denaro dovuto", interessante scelta linguistica!
Avrebbero potuto scrivere semplicemente "denaro" o "denaro richiesto", mi piacerebbe capire il perchè del "dovuto", anche perchè non  sembra minimamente una traduzione automatica.

vero, ci sono una sacco di errori grammaticali che non sono dovuti ad una traduzione automatica, sembra un testo scritto da chi ha  delle buone conoscenze di italiano parlato e traduce in italiano la parola straniera nel suo equivalente significato, quindi non stare ad analizzare la scelta delle parole perchè ha poco senso.


Forse questi tizi al massimo sanno fare un attacco DDoS, pure io nel mio sito (come tantissimi altri) ricevo questo tipo di attacchi continuamente, ma su questo genere di attacchi non puoi farci nulla, e difficilmente sono in quantità tale da bloccare il server......sono sicuro che qualcuno sta giocando al piccolo haker.

[Daniele Pinna]

La CPU del VPS va sui 97% quindi in effetti lo sta rallendando... :-(

Sto bloccando IP su Ip...
Sto facendo un blocco geografico con Admin Tools escludendo solo l'italia...

Il problema è che le richieste che fanno al server non riguardno Joomla! direttamente ma credo Apache...

Ecco un esempio di richieste:

2017-03-12 11:08:22    Error    37.187.129.166    503    GET /?6BR68=CNgTlIbHaa3U&EcKMvGMPkw=FL6&kdJ=InoQqP&EXxXtYp=7IwK3aVMkQAJC7V4xBg HTTP/1.0        Mozilla/5.0 (Windows; U; MSIE 6.1; Macintosh; Trident/4.0; Intel Mac OS X 10_5_1)    1.55 K    Accesso SSL/TLS Apache
2017-03-12 11:08:22    Error    37.187.129.166    503    GET /?e4C0KVb=mgiB2YYuYesi1&HJX=WnDWN0Jfpx6llDfrAml5&52Y4Rkr6=cXoUioEx7&caa3vjbwL7=C6jjFKFnd7RqmpWS&wpVcY=f5otj8os HTTP/1.0        Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_1) Gecko/20050702 Firefox/17.0    1.55 K    Accesso SSL/TLS Apache
2017-03-12 11:08:22    Error    37.187.129.166    503    GET /?rhymI5w3=oGDD6PwOVWskjAK&QODQbMX=qN4i HTTP/1.0        Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.3; .NET CLR 3.0.17452; Win64; x64)    1.55 K    Accesso SSL/TLS Apache
2017-03-12 11:08:22    Error    37.187.129.166    503    GET /?aVt5=KyAxClGeh6&fTYd3=nPGOnQGc HTTP/1.0        Mozilla/5.0 (Linux x86_64; X11) AppleWebKit/536.16 (KHTML, like Gecko) Version/6.1.5 Safari/535.14    1.55 K    Accesso SSL/TLS Apache
2017-03-12 11:08:22    Error    37.187.129.166    503    GET /?rjoCbO2=E1pSSMD6fp1esWX4&WF2RUHNBJd=lnLmMg3Cj HTTP/1.0    Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.16 (KHTML, like Gecko) Chrome/13.0.1075.36 Safari/536.11    1.55 K    Accesso SSL/TLS Apache
2017-03-12 11:08:22    Error    37.187.129.166    503    GET /?Hdo7kn=0BFrh&Hft=Yp1AxYYrvD&jrmlY=X8UY6wk5hO HTTP/1.0        Mozilla/5.0 (Windows; U; MSIE 7.0b; Windows NT 5.1; Trident/5.0; WOW64)    1.55 K    Accesso SSL/TLS Apache

Ora ho disattivato il dominio :-(

[Daniele Pinna]

Le ultime 2 ore sono state terribili...

Alla fine ho dovuto mettere offlline di nuovo il mio sito e cercare di sistemare fail2ban (che dovrebbe mettere in blacklist gli IP di chi attacca dopo un tot di errori) che però non stava funzionando...

Alla fine è andato in titlt una parte del server (apache + nginx) blocando persino la posta in uscita, causato da un problema con l'IPv6, risolto eliminando l'IP...

Ho anche scoperto che stavano cercando di entrare tramite SSH provando vari user e password. Ovviamente ho cambiato la user predefintia (root) e la password è lunghetta :-)
Ma anche li, fail2ban (nato proprio come protezione per SSH) non ha fatto il suo dovere

[Ahmed Salvini]

io continuo a non capire... ma è tuo il server?
Da questo che dici sembra di si.

Ho anche scoperto che stavano cercando di entrare tramite SSH provando vari user e password. Ovviamente ho cambiato la user predefintia (root) e la password è lunghetta :-)

non capisco perchè dici prima che l'attacco è verso il server... non si usa un sito per attaccare ssh, però posso usare ssh per attaccare un sito.
Se prima non hai chiaro uno scenario, chi vogliono, cosa vogliono e chi la vuole, difficilmente puoi porci un rimedio.Basterebbe negare l'accesso da proxi e secondo me risolvi

[Daniele Pinna]

In effetti ci può esesere un po' di confusione 

Il primo sito che hanno attaccato (quello che pensafo fosse stato bucato), sta (ancora) su un server condiviso, perché ho rimandato lo spostamento sul server VPS che ho preso da poco (be cavolo sono quasi 6 mesi :-D ).

L'attacco di questa notte e di oggi è stato rivolto versio un altro dominio (il mio principale) che sta sul mio VPS:

- Intel(R) Xeon(R) CPU E5645 @ 2.40GHz (2 core(s))
- 4 GB di RAM
- 250 GB HDD
- Centos 6.8
- Plesk Onyx v17.0.17


l'Attacco principale avveniva tramite Web non tramite SSH... solo dopo mi sono accorto (guardando i log) che stavano cercando anche di entrare tramite SSH.

[Ahmed Salvini]

non usare dei tool di ban perchè non capiresti più nulla e soprattutto non serve risolvere, si risolve da solo, devi solo mitigare magari attraverso il ban di range di ip (a manina cercando di ragionare), inoltre ci dovrebbe essere qualcosa che consenta di impedire l'accesso da proxi.
Sono tutti attacchi automatici, devono solo capire che vengono rimbalzati, magari ci vuole qualche giorno.
Una volta che hai il tuo backup sicuro ed aggiornato puoi divertirti a "fare cose" imparando un po' anche questi aspetti, senza tirare giù i servizi. non sarà l'ultima volta che ti capita.

[Daniele Pinna]

Non ho molta esperienza su server di produzione... ma avevo capito che fail2ban fosse indispensabile per proteggere da questo tipi di attacchi (quando funziona).

In effetti ho visto che il log che genera è spropositato... perché sta funzionando male

praticamente migliaia di righe di questo tipo:

2017-03-12 19:16:16,700 fail2ban.filter     [1216]: ERROR findFailure failed to parse timeText: Mar 7 11:47:35 1581

Pare si risolva reinstallando... ora vediamo.


Concordo che lavorare a "manina" sul firewall possa essere corretto, ma non posso stare 24/24 sul server a monitorare e bloccare gli IP che scassano :-D

Questa notte ho fatto le 4 e mi sono alzato alle 8... cosa inusuale per me di domenica :-)

[Ahmed Salvini]

la cosa più facile in queste situazioni è "perdere la lucidità" e gli errori si sommano agli errori.
Dipende tutto poi dall'importanza del servizio offerto.. se è un ecommerce...beh sono i rischi che si corrono e fare le 4 di notte è più che normale; d'altronde se ti rubassero in negozio sarebbe uguale e trascorreresti la notte a compilare verbali
Un proprio sito può subire qualche down temporaneo e qualche rallentamento e offrire allo stesso tempo l'opportunità di fare un po' di esperienza, in un un certo senso diventi un hacker dell'hacker... sei tu che sfrutti lui!

Questi lavori è meglio farli la mattina a mente fresca, la sera ti puoi pianificare le azioni con carta e penna e magari dopo aver cercato delle piccole case history di questi avvenimenti con google, ce ne sono di validi e che offrono moltissimi spunti.

... la domenica è fatta per il mare

PS: si l'errore è dato da questo dato 16,700 secondi che lui non riconosce

[Daniele Pinna]

la cosa più facile in queste situazioni è "perdere la lucidità" e gli errori si sommano agli errori.
Dipende tutto poi dall'importanza del servizio offerto.. se è un ecommerce...beh sono i rischi che si corrono e fare le 4 di notte è più che normale; d'altronde se ti rubassero in negozio sarebbe uguale e trascorreresti la notte a compilare verbali

Non ho ecommerce nel VPS ma ho anche i siti e la posta mia e dei clienti
(e si questo hosting non mi da la posta su un server separato )

Un proprio sito può subire qualche down temporaneo e qualche rallentamento e offrire allo stesso tempo l'opportunità di fare un po' di esperienza, in un un certo senso diventi un hacker dell'hacker... sei tu che sfrutti lui!

Questi lavori è meglio farli la mattina a mente fresca, la sera ti puoi pianificare le azioni con carta e penna e magari dopo aver cercato delle piccole case history di questi avvenimenti con google, ce ne sono di validi e che offrono moltissimi spunti.

... la domenica è fatta per il mare

PS: si l'errore è dato da questo dato 16,700 secondi che lui non riconosce

Probabilmente si aspetta 16.700
Maledetti separatori differente :-D
Dovrei risolvere modifcando il file che gestisce le impostazioni della lingua

[Ahmed Salvini]

no, se c'è roba d'altri qualche ragionamento cambia.

ma i log sono quelli indicati dove dici
-----------
Il problema è che le richieste che fanno al server non riguardno Joomla! direttamente ma credo Apache...
-----------
?

come fanno a fare richieste a / ?
Scusa ma non puoi negare quell'accesso da htacces (non quello di J)

Hai configurato tu il server?
Hai un pannellino o vedi tutto il sistema?

...secondo me molte risorse vengono usate per scrivere righe nel log

[Daniele Pinna]

no, se c'è roba d'altri qualche ragionamento cambia.

ma i log sono quelli indicati dove dici
-----------
Il problema è che le richieste che fanno al server non riguardno Joomla! direttamente ma credo Apache...
-----------
?

Nel senso, a differenza di quello che pensavo all'inizio (quando ho aperto il tread), non stanno attaccando Joomla!, ma semplicemente il serve saturandolo di richieste... una sorta di netstrike, fatta un IP alla volta.

come fanno a fare richieste a / ?

semplice: chiamano una pagina tipo questa:
   www.nomedominio.it/PaginaInesistente
Compare una pagina 404
Se metto un altro indirizzo:
   www.nomedominio.it/PaginaInesistenteBis
compare di nuovo la pagina 404 però la prende dalla cache


Se invece viene messo il punto esclamativo es:
   www.nomedominio.it/?PaginaInesistente
Viene caricato il sito normalmente (la home)

Se riprovo con una pagina differente:
   www.nomedominio.it/PaginaInesistente2

Viene di nuovo riscaricato tutto il sito, senza prenderlo dalla cache.

Questo è quello che ho determinato verificando i tempi di caricamento della pagina... ma anche vedendo i log (circa 3K quando usa la cache, circa 78 K quando non la usa).

Scusa ma non puoi negare quell'accesso da htacces (non quello di J)

Cosa intendi per non quello di Joomla?

Hai configurato tu il server?
Hai un pannellino o vedi tutto il sistema?

Si ho configurato io il server.
Ho pieno accesso al VPS tramite Plesk Onix 17.0.17 dove posso creare clienti, domini, abbonamenti, configurazioni etc.
Ho anche accesso ad un altra area per gestire alcune cose del server (Virtuozzo Parallel Panel... )

...secondo me molte risorse vengono usate per scrivere righe nel log

Si, specie negli attacchi...

[Daniele Pinna]

La notte è passata tranquilla... nessun attacco.
Probailmente hanno desistito. :-)

Grazie a tutti per il supporto e i consigli
e chiedo scusa se il post alla fine è andato un po' OT dato che non si trattava nello specifico di un problema di Joomla! ma di un semplice attacco DOS.

[Ahmed Salvini]

semplice: chiamano una pagina tipo questa:
   www.nomedominio.it/PaginaInesistente
Compare una pagina 404
Se metto un altro indirizzo:
   www.nomedominio.it/PaginaInesistenteBis
compare di nuovo la pagina 404 però la prende dalla cache

Quindi i log di prima sono quelli relativi a Joomla del tuo dominio o del server su cui sono ospitati vari domini?
Cioè non capisco se quella / è del tuo dominio o del tuo server VPS
Non può essere che prendono l'ip del tuo server e su quello appendono una request?

[Daniele Pinna]

Quindi i log di prima sono quelli relativi a Joomla del tuo dominio o del server su cui sono ospitati vari domini?
Cioè non capisco se quella / è del tuo dominio o del tuo server VPS
Non può essere che prendono l'ip del tuo server e su quello appendono una request?

Sono relativi al mio dominio

Il server è multidominio quindi stanno attaccando usando direttamente il dominio, altrimenti vedrei l'attacco sul report del "sito" del server dove in effetti ho ricevuto qualche attacco sporadico... ma di fatto sulla home del server c'è una pagina di benvenuto predefinita (a breve la cambio) e in una sottocartella altre sottocartelle con delle bozze di siti (che per adesso non sono state nemmeno viste).