Autore Topic: [RISOLTO] Attacco DOS (era Sito bucato e disattivato) (Letto 8082 volte)

Ahmed Salvini · « **Risposta #20 il:** 12 Mar 2017, 18:29:56 »

io continuo a non capire... ma è tuo il server?
Da questo che dici sembra di si.

Citazione

Ho anche scoperto che stavano cercando di entrare tramite SSH provando vari user e password. Ovviamente ho cambiato la user predefintia (root) e la password è lunghetta :-)

non capisco perchè dici prima che l'attacco è verso il server... non si usa un sito per attaccare ssh, però posso usare ssh per attaccare un sito.
Se prima non hai chiaro uno scenario, chi vogliono, cosa vogliono e chi la vuole, difficilmente puoi porci un rimedio.Basterebbe negare l'accesso da proxi e secondo me risolvi

Daniele Pinna · « **Risposta #21 il:** 12 Mar 2017, 18:39:24 »

In effetti ci può esesere un po' di confusione

Il primo sito che hanno attaccato (quello che pensafo fosse stato bucato), sta (ancora) su un server condiviso, perché ho rimandato lo spostamento sul server VPS che ho preso da poco (be cavolo sono quasi 6 mesi :-D ).

L'attacco di questa notte e di oggi è stato rivolto versio un altro dominio (il mio principale) che sta sul mio VPS:

- Intel(R) Xeon(R) CPU E5645 @ 2.40GHz (2 core(s))
- 4 GB di RAM
- 250 GB HDD
- Centos 6.8
- Plesk Onyx v17.0.17

l'Attacco principale avveniva tramite Web non tramite SSH... solo dopo mi sono accorto (guardando i log) che stavano cercando anche di entrare tramite SSH.

Ahmed Salvini · « **Risposta #22 il:** 12 Mar 2017, 19:27:19 »

non usare dei tool di ban perchè non capiresti più nulla e soprattutto non serve risolvere, si risolve da solo, devi solo mitigare magari attraverso il ban di range di ip (a manina cercando di ragionare), inoltre ci dovrebbe essere qualcosa che consenta di impedire l'accesso da proxi.
Sono tutti attacchi automatici, devono solo capire che vengono rimbalzati, magari ci vuole qualche giorno.
Una volta che hai il tuo backup sicuro ed aggiornato puoi divertirti a "fare cose" imparando un po' anche questi aspetti, senza tirare giù i servizi. non sarà l'ultima volta che ti capita.

Daniele Pinna · « **Risposta #23 il:** 12 Mar 2017, 19:44:58 »

Non ho molta esperienza su server di produzione... ma avevo capito che fail2ban fosse indispensabile per proteggere da questo tipi di attacchi (quando funziona).

In effetti ho visto che il log che genera è spropositato... perché sta funzionando male $:-\$

praticamente migliaia di righe di questo tipo:

Citazione

2017-03-12 19:16:16,700 fail2ban.filter [1216]: ERROR findFailure failed to parse timeText: Mar 7 11:47:35 1581

Pare si risolva reinstallando... ora vediamo.

Concordo che lavorare a "manina" sul firewall possa essere corretto, ma non posso stare 24/24 sul server a monitorare e bloccare gli IP che scassano :-D

Questa notte ho fatto le 4 e mi sono alzato alle 8... cosa inusuale per me di domenica :-)

Ahmed Salvini · « **Risposta #24 il:** 12 Mar 2017, 20:06:55 »

la cosa più facile in queste situazioni è "perdere la lucidità" e gli errori si sommano agli errori.
Dipende tutto poi dall'importanza del servizio offerto.. se è un ecommerce...beh sono i rischi che si corrono e fare le 4 di notte è più che normale; d'altronde se ti rubassero in negozio sarebbe uguale e trascorreresti la notte a compilare verbali

Un proprio sito può subire qualche down temporaneo e qualche rallentamento e offrire allo stesso tempo l'opportunità di fare un po' di esperienza, in un un certo senso diventi un hacker dell'hacker... sei tu che sfrutti lui!

Questi lavori è meglio farli la mattina a mente fresca, la sera ti puoi pianificare le azioni con carta e penna e magari dopo aver cercato delle piccole case history di questi avvenimenti con google, ce ne sono di validi e che offrono moltissimi spunti.

... la domenica è fatta per il mare

PS: si l'errore è dato da questo dato 16,700 secondi che lui non riconosce

Daniele Pinna · « **Risposta #25 il:** 12 Mar 2017, 20:57:14 »

Citazione da: Ahmed Salvini - 12 Mar 2017, 20:06:55

la cosa più facile in queste situazioni è "perdere la lucidità" e gli errori si sommano agli errori.
Dipende tutto poi dall'importanza del servizio offerto.. se è un ecommerce...beh sono i rischi che si corrono e fare le 4 di notte è più che normale; d'altronde se ti rubassero in negozio sarebbe uguale e trascorreresti la notte a compilare verbali

Non ho ecommerce nel VPS ma ho anche i siti e la posta mia e dei clienti
(e si questo hosting non mi da la posta su un server separato $:-\$ )

Citazione

Un proprio sito può subire qualche down temporaneo e qualche rallentamento e offrire allo stesso tempo l'opportunità di fare un po' di esperienza, in un un certo senso diventi un hacker dell'hacker... sei tu che sfrutti lui!

Questi lavori è meglio farli la mattina a mente fresca, la sera ti puoi pianificare le azioni con carta e penna e magari dopo aver cercato delle piccole case history di questi avvenimenti con google, ce ne sono di validi e che offrono moltissimi spunti.

... la domenica è fatta per il mare

PS: si l'errore è dato da questo dato 16,700 secondi che lui non riconosce

Probabilmente si aspetta 16.700
Maledetti separatori differente :-D
Dovrei risolvere modifcando il file che gestisce le impostazioni della lingua

Ahmed Salvini · « **Risposta #26 il:** 12 Mar 2017, 21:18:44 »

no, se c'è roba d'altri qualche ragionamento cambia.

ma i log sono quelli indicati dove dici
-----------
Il problema è che le richieste che fanno al server non riguardno Joomla! direttamente ma credo Apache...
-----------
?

come fanno a fare richieste a / ?
Scusa ma non puoi negare quell'accesso da htacces (non quello di J)

Hai configurato tu il server?
Hai un pannellino o vedi tutto il sistema?

...secondo me molte risorse vengono usate per scrivere righe nel log

Daniele Pinna · « **Risposta #27 il:** 12 Mar 2017, 22:21:48 »

Citazione da: Ahmed Salvini - 12 Mar 2017, 21:18:44

no, se c'è roba d'altri qualche ragionamento cambia.

ma i log sono quelli indicati dove dici
-----------
Il problema è che le richieste che fanno al server non riguardno Joomla! direttamente ma credo Apache...
-----------
?

Nel senso, a differenza di quello che pensavo all'inizio (quando ho aperto il tread), non stanno attaccando Joomla!, ma semplicemente il serve saturandolo di richieste... una sorta di netstrike, fatta un IP alla volta.

Citazione

come fanno a fare richieste a / ?

semplice: chiamano una pagina tipo questa:
www.nomedominio.it/PaginaInesistente
Compare una pagina 404
Se metto un altro indirizzo:
www.nomedominio.it/PaginaInesistenteBis
compare di nuovo la pagina 404 però la prende dalla cache

Se invece viene messo il punto esclamativo es:
www.nomedominio.it/?PaginaInesistente
Viene caricato il sito normalmente (la home)

Se riprovo con una pagina differente:
www.nomedominio.it/PaginaInesistente2

Viene di nuovo riscaricato tutto il sito, senza prenderlo dalla cache.

Questo è quello che ho determinato verificando i tempi di caricamento della pagina... ma anche vedendo i log (circa 3K quando usa la cache, circa 78 K quando non la usa).

Citazione

Scusa ma non puoi negare quell'accesso da htacces (non quello di J)

Cosa intendi per non quello di Joomla?

Citazione

Hai configurato tu il server?
Hai un pannellino o vedi tutto il sistema?

Si ho configurato io il server.
Ho pieno accesso al VPS tramite Plesk Onix 17.0.17 dove posso creare clienti, domini, abbonamenti, configurazioni etc.
Ho anche accesso ad un altra area per gestire alcune cose del server (Virtuozzo Parallel Panel... )

Citazione

...secondo me molte risorse vengono usate per scrivere righe nel log

Si, specie negli attacchi...

Daniele Pinna · « **Risposta #28 il:** 13 Mar 2017, 11:03:00 »

La notte è passata tranquilla... nessun attacco.
Probailmente hanno desistito. :-)

Grazie a tutti per il supporto e i consigli
e chiedo scusa se il post alla fine è andato un po' OT dato che non si trattava nello specifico di un problema di Joomla! ma di un semplice attacco DOS.

Ahmed Salvini · « **Risposta #29 il:** 13 Mar 2017, 11:11:48 »

Citazione da: Daniele Pinna - 12 Mar 2017, 22:21:48

semplice: chiamano una pagina tipo questa:
www.nomedominio.it/PaginaInesistente
Compare una pagina 404
Se metto un altro indirizzo:
www.nomedominio.it/PaginaInesistenteBis
compare di nuovo la pagina 404 però la prende dalla cache

Quindi i log di prima sono quelli relativi a Joomla del tuo dominio o del server su cui sono ospitati vari domini?
Cioè non capisco se quella / è del tuo dominio o del tuo server VPS
Non può essere che prendono l'ip del tuo server e su quello appendono una request?

Daniele Pinna · « **Risposta #30 il:** 13 Mar 2017, 13:01:54 »

Citazione da: Ahmed Salvini - 13 Mar 2017, 11:11:48

Quindi i log di prima sono quelli relativi a Joomla del tuo dominio o del server su cui sono ospitati vari domini?
Cioè non capisco se quella / è del tuo dominio o del tuo server VPS
Non può essere che prendono l'ip del tuo server e su quello appendono una request?

Sono relativi al mio dominio

Il server è multidominio quindi stanno attaccando usando direttamente il dominio, altrimenti vedrei l'attacco sul report del "sito" del server dove in effetti ho ricevuto qualche attacco sporadico... ma di fatto sulla home del server c'è una pagina di benvenuto predefinita (a breve la cambio) e in una sottocartella altre sottocartelle con delle bozze di siti (che per adesso non sono state nemmeno viste).

Autore Topic: [RISOLTO] Attacco DOS (era Sito bucato e disattivato) (Letto 8082 volte)

Ahmed Salvini

Re:Sito bucato e disattivato

Daniele Pinna

Re:Sito bucato e disattivato

Ahmed Salvini

Re:Sito bucato e disattivato

Daniele Pinna

Re:Sito bucato e disattivato

Ahmed Salvini

Re:Sito bucato e disattivato

Daniele Pinna

Re:Sito bucato e disattivato

Ahmed Salvini

Re:Sito bucato e disattivato

Daniele Pinna

Re:Sito bucato e disattivato

Daniele Pinna

Re:Sito bucato e disattivato

Ahmed Salvini

Re:Sito bucato e disattivato

Daniele Pinna

Re:[RISOLTO] Attacco DOS (era Sito bucato e disattivato)