Joomla.it Forum
Non solo Joomla... => Sicurezza => : MiPo66 14 Jan 2015, 15:40:17
-
Buongiorno a tutti.
come da oggetto, volevo segnalare praticamente in tempo relae (sta succedendo adesso) e da più di 1 ora che ricevo e-mail di notifica in continuo (attualmente sia mo a circa 7000 mail) dal plug-in Marco's interceptor sql..... Credo di essere sotto attacco :lol: A questo punto però mi chiedo: il Plug in avrebbe dovuto bloccare l'attacco dopo un certo numero di tentativi (io ho impostato 2). Guardando il contenuto della mail ricevuta, noto che si fa riferimento specifico a categorie e articoli (con i loro relativi ID). Il punto è che questi ID e articoli, non esistono sul mio sito. Ed ancora, alla voce REMOTE ADDR (dovrebbe esserce il riferimento all'indirizzo IP dell'attaccante), leggo un numero tipico di indirizzo MAC. E' normale anche questo? Spero in una risposta veramente celere. Grazie a tutti.
P.S. dimenticavo di aggiungere che non posso più accedere al sito tramite FTP, mozilla mi da un messaggio : sito non sicuro, accesso FTP negato.
di seguito il testo delle mail
** Union Select [GET:amp;page] => -6863 union all select CONCAT(0x3a6f79753a,0x4244764877697569706b,0x3a70687a3a),1%23
** Union Select [REQUEST:amp;page] => -6863 union all select CONCAT(0x3a6f79753a,0x4244764877697569706b,0x3a70687a3a),1%23
**PAGE / SERVER INFO
*REMOTE_ADDR :
2a01:4f8:a0:90cd::2
*REQUEST_METHOD :
GET
*QUERY_STRING :
view=article&%3bid=53:welcome&%3btmpl=component&%3bprint=1&%3blayout=default&%3bpage=+-6863+union+all+select+CONCAT(0x3a6f79753a,0x4244764877697569706b,0x3a70687a3a),1%2523
** SUPERGLOBALS DUMP (sanitized)
*$_GET DUMP
-[view] => article
-[amp;id] => 53:welcome
-[amp;tmpl] => component
-[amp;print] => 1
-[amp;layout] => default
-[amp;page] => -6863 -- CONCAT(0x3a6f79753a,0x4244764877697569706b,0x3a70687a3a),1%23
*$_POST DUMP
*$_COOKIE DUMP
*$_REQUEST DUMP
-[view] => article
-[amp;id] => 53:welcome
-[amp;tmpl] => component
-[amp;print] => 1
-[amp;layout] => default
-[amp;page] => -6863 -- CONCAT(0x3a6f79753a,0x4244764877697569706b,0x3a70687a3a),1%23
-
Manda una email all'host spiegando la situazione, ti forniranno gli ip da dove ti attaccano e li blocchi da htaccess
-
Quelli non sono mac address ma indirizzi ip deltipo ipv6.
-
Innanzitutto grazie ad entrambi per aver risposto.
Manda una email all'host spiegando la situazione, ti forniranno gli ip da dove ti attaccano e li blocchi da htaccess
dubito che si prenderanno la briga di perdere qualche secondo della loro vita per darmi questa informazione, del resto la loro risposta politica è: per quello che paghi, non possiamo perdere tempo ad analizzare il tuo sito. Risposta già ricevuta in altre occasione come ad esempio: sito off line ogni 2 giorni pur avando reinstallato e riscritto il sito da zero.
Manda una email all'host spiegando la situazione, ti forniranno gli ip da dove ti attaccano e li blocchi da htaccess
non avevo pensato a questa ipotesi, forse ingannato anche dal fatto che un indirizzo ipv6 è molto ma molto più lungo di quello che vedo nella mail. Inserendo comunque l'indirizzo in google, ci sono varie corrispondenze con quello che mi dici. A questo punto vorrei tirare in ballo Marco (mmeloni) con il suo Plug-in (ovviamente non per rimproverarlo), ma solo per chiedergli se esiste un aggiornamento che tenga in considerazione anche questa possibilità.
Ancora grazie a tutti per la risposta.
P.S. dimenticavo: l'attacco di ieri è durato dalle 11:05 alle 16:44, ho ricevuto 7454 e-mail di notifica :) Ho vinto qualcosa? :) :)
-
Io non so il tuo host che politica abbia, a me è successo tempo fa con un host straniero di pochi euro / anno e su una cosa simile si sono dimostrati molto collaborativi, anche perché il rischio di infettare anche il resto del server é grande
-
Innanzitutto grazie ad entrambi per aver risposto. dubito che si prenderanno la briga di perdere qualche secondo della loro vita per darmi questa informazione, del resto la loro risposta politica è: per quello che paghi, non possiamo perdere tempo ad analizzare il tuo sito. Risposta già ricevuta in altre occasione come ad esempio: sito off line ogni 2 giorni pur avando reinstallato e riscritto il sito da zero. non avevo pensato a questa ipotesi, forse ingannato anche dal fatto che un indirizzo ipv6 è molto ma molto più lungo di quello che vedo nella mail. Inserendo comunque l'indirizzo in google, ci sono varie corrispondenze con quello che mi dici. A questo punto vorrei tirare in ballo Marco (mmeloni) con il suo Plug-in (ovviamente non per rimproverarlo), ma solo per chiedergli se esiste un aggiornamento che tenga in considerazione anche questa possibilità.
Ancora grazie a tutti per la risposta.
P.S. dimenticavo: l'attacco di ieri è durato dalle 11:05 alle 16:44, ho ricevuto 7454 e-mail di notifica :) Ho vinto qualcosa? :) :)
Evidentemente anche se a pochi euro, sono persone intelligenti. Quando ho provato a far presente al mio host che il pericolo era per tutti, la loro risposta è stata: per questo ci riserviamo la facoltà di sospendere il sito, per salvaguardare chi non ha colpe. Come se io facessi parte di una organizzazione terroristica :). L'host in questione, che non cito per non infrangere le regole del forum, è italiano.
-
Cambia host
-
e in quale host non ti sospendono il sito se può essere dannoso per altri?
in quale host se hai un problema col sito e non hai un contratto di assistenza ti sistemano le cose?
...ditemi che lo uso anch'io per i miei clienti, sono stufo di risolvere i loro problemi quando usano estensioni vulnerabili o non aggiornano qualcosa.
-
Cambia host
Concordo con te, nessun host ti presta assistenza senza un contratto specifico e quindi sotto relativo compenso. Però c'è sempre l'altro lato della medaglia.
Se un sito viene attaccato e messo off-line dall'host per i motivi che sappiamo, il webmaster riceve dall'host l'e-mail in cui si comunica di provvedere alla messa in sicurezza del sito (e qui cominciano i dubbi, visto che il sito era aggiornato su tutto, sia core che componenti). Il webmaster, approfittando di questa occasione, ricostruisce il sito da zero, quindi una nuova versione di joomla (l'ultima disponibile al momento, ad esempio la 3.3), riscrive tutti gli articoli anzichè importarli dal vecchio database (al limite un copia ed incolla del testo) e dopo neanche un mese l'host gli rimanda nuovamente l'e-mail che il sito è stato sospeso. Armato di santissima pazienza, il webmaster procede nuovamente a rifare tutto, pensando di aver commesso un errore. Terminato nuovamente il lavoro, dopo soli 2 giorni, ripeto: 2 giorni, sito nuovamente sospeso.
Credi veramente che l'host non ha nessuna responsabilità?
Come già scritto precedentemente, è giusta la sospensione del sito per evitare problemi ad altri, ma è anche giusto che l'host deve... ripeto DEVE, impegnarsi per capire dov'è il problema. Non può e non dovrebbe addossare la colpa solo al webmaster scaricando le proprie responsabilità.
Evidentemente ci sono altre lacune, forse (come letto in un post qui sul forum) dipende dall'indirizzo IP della macchina su cui è ospitato il sito) ma non deve certo essere il webmaster a dire questo.
Magari, se i tecnici dell'host dedicavano qualce minuto in più a capire qual'è il problema (anzichè perdere tempo nel rispondere al ticket aperto in assistenza con le classiche frasi: per quello che paghi non abbiamo tempo da perdere), avrebbero risolto il problema di molti utenti. Di sicuro non sono stato il primo e non sarò neanche l'ultimo che si è trovato in situazioni simili.
-
Cambia host
L'idea, presa in considerazione, è la più sensata e ho sentito telefonicamente alcuni gestori.
Però è da considerare anche i costi (capisco che qui sembra aver a che fare con chi vuole la botte piena e la moglie ubriaca), ma se i siti gestiti sono di clienti, il problema è superabile, la differenza del costo dell'host va caricata sul proprietario del sito.
Nel mio caso che gestisco 5 siti (uno personale, uno della mia associazione di volontariato e 3 dei progetti dell'associazione), significa sborsare personalmente tutti i costi senza che rientri un cent. Passare quindi da 10 euro all'anno per sito a 60 all'anno di un'altro host, fa la differenza.
Se hai nomi da suggerirmi, sono ben accetti. In questi giorni ho alcuni domini in scadenza e potrei approfittarne per cambiare manteiner.
-
Concordo con te, nessun host ti presta assistenza senza un contratto specifico e quindi sotto relativo compenso. Però c'è sempre l'altro lato della medaglia.
Se un sito viene attaccato e messo off-line dall'host per i motivi che sappiamo, il webmaster riceve dall'host l'e-mail in cui si comunica di provvedere alla messa in sicurezza del sito (e qui cominciano i dubbi, visto che il sito era aggiornato su tutto, sia core che componenti). Il webmaster, approfittando di questa occasione, ricostruisce il sito da zero, quindi una nuova versione di joomla (l'ultima disponibile al momento, ad esempio la 3.3), riscrive tutti gli articoli anzichè importarli dal vecchio database (al limite un copia ed incolla del testo) e dopo neanche un mese l'host gli rimanda nuovamente l'e-mail che il sito è stato sospeso. Armato di santissima pazienza, il webmaster procede nuovamente a rifare tutto, pensando di aver commesso un errore. Terminato nuovamente il lavoro, dopo soli 2 giorni, ripeto: 2 giorni, sito nuovamente sospeso.
Credi veramente che l'host non ha nessuna responsabilità?
Non so se l'host è responsabile ma solitamente è facile capirlo perchè se sei su un host condiviso e la colpa è dell'hoster facilmente tutti i siti sul server sono compromessi e non credo sia questo il caso.
Penso solo tu non sia riuscito ad eliminare il problema, anche perchè COME DETTO CHIARAMENTE nei post in evidenza il problema potresti essere tu, il tuo pc o qualcosa nella tua rete che lo re-infetta
-
Non si può parlare di servizi commerciali dentro il forum, in ogni caso ognuno ha le sue personali esperienze. Io mi trovo bene con un host italiano abbastanza famoso, un mio collega non ne vuol sentir parlare di questa azienda perché ha avuto problemi con i ticket etc.
Controlla come dice steganoga che non sia un problema legato al tuo pc.
-
Non so se l'host è responsabile ma solitamente è facile capirlo perchè se sei su un host condiviso e la colpa è dell'hoster facilmente tutti i siti sul server sono compromessi e non credo sia questo il caso.
Penso solo tu non sia riuscito ad eliminare il problema, anche perchè COME DETTO CHIARAMENTE nei post in evidenza il problema potresti essere tu, il tuo pc o qualcosa nella tua rete che lo re-infetta
Ovviamente è una ipotesi plausibile che ho preso anche in considerazione e sono sicuro che questo tipo di problema è da scartare. Infatti, dopo aver litigato di brutto con l'host, sono diversi mesi che il problema non si è più presentato (attacco a parte degli ultimi giorni che, almeno fino ad ora, non ha comportato nessun problema).
Giusta anche la tua osservazione quando dici che su un host condiviso tutti avrebbero lo stesso problema: ma chi ci dice che effettivamente sono solo io ad avere questo problema? L'host di certo se ne guarderà bene dal renderlo pubblico.
Ed ancora, la prima cosa che ho fatto a suo tempo è stato leggere i post in evidenza, proprio per capire cosa potesse aver creato quel tipo di problema (approfittando di questa occasione ho eliminato tutto il superfluo, quindi tutti plug-in, moduli e componenti non più usati sono stati eliminati). Ed infine... come ho scritto nel post principale, ho rifatto il sito da zero, tutto nuovo (template, versione di joomla, database, moduli ecc.. ecc..): come avrei potuto infettare nuovamente una installazione pulita di joomla?
Comunque sia, spero che il problema si sia risolto definitivamente.
Grazie della collaborazione e se hai qualche ulteriore consiglio, magari su cosa fare "durante l'attacco", sarebbe gradito.
-
Non si può parlare di servizi commerciali dentro il forum, in ogni caso ognuno ha le sue personali esperienze. Io mi trovo bene con un host italiano abbastanza famoso, un mio collega non ne vuol sentir parlare di questa azienda perché ha avuto problemi con i ticket etc.
Controlla come dice steganoga che non sia un problema legato al tuo pc.
Infatti, come avrete notato, non ho scritto il nome dell'host. Le regole del forum vanno rispettate da tutti.
Grazie della collaborazione anche a te e se hai qualche ulteriore consiglio, magari su cosa fare "durante l'attacco", sarebbe gradito.
-
Non voleva essere una critica o un rimprovero a non parlare di serivizi a pagamento, solo che non posso esprimermi e comunque anche potendo, ripeto ognuno ha la sua personale esperienza.
Riguardo gli attacchi io butterei giù subito il sito. Capisco che 10 euro contro 60 sono un impegno, ma quanto spendi per gestire sti attacchi?
Se permetti ti racconto una storia accaduta a una mia cliente: Doveva cambiare casa e si fà fare preventivi di trasloco da ditte Italiane + un paio di ditte gestite da stranieri che si affacciano sull'adriatico. Essendoci una differenza di prezzo tra stranieri ed italiani, la tipa opta per i servizi dei ragazzi stranieri, infamando le ditte italiane, tacciandole di avidità. Risultato mobili rubati, ditta inesistente etc.
Per poco si ottinene poco. Visto che alcuni siti riguardano una associazione magari 30/40 euro l'anno tra i soci si riescono a recuperare. Il tutto detto senza nessuna polemica, so bne che è difficile stare nel sociale.
-
Non voleva essere una critica o un rimprovero a non parlare di serivizi a pagamento, solo che non posso esprimermi e comunque anche potendo, ripeto ognuno ha la sua personale esperienza.
Riguardo gli attacchi io butterei giù subito il sito. Capisco che 10 euro contro 60 sono un impegno, ma quanto spendi per gestire sti attacchi?
Se permetti ti racconto una storia accaduta a una mia cliente: Doveva cambiare casa e si fà fare preventivi di trasloco da ditte Italiane + un paio di ditte gestite da stranieri che si affacciano sull'adriatico. Essendoci una differenza di prezzo tra stranieri ed italiani, la tipa opta per i servizi dei ragazzi stranieri, infamando le ditte italiane, tacciandole di avidità. Risultato mobili rubati, ditta inesistente etc.
Per poco si ottinene poco. Visto che alcuni siti riguardano una associazione magari 30/40 euro l'anno tra i soci si riescono a recuperare. Il tutto detto senza nessuna polemica, so bne che è difficile stare nel sociale.
E' sott'inteso che si parla di esperienze personali e non si fanno critiche o rimproveri. Tranquillo, ho capito in pieno il tuo discorso.
Cosa intendi con: "butterei giù subito il sito"? metterlo off line da pannello di controllo facendo uscire la pagina di manutenzione? Ci ho provato, ma senza risultato tangibile.
-
ma chi ci dice che effettivamente sono solo io ad avere questo problema?
te stesso, una volta capito quali sono dovrebbero comportarsi come il tuo... almeno qualcuno... via uno almeno si ...
https://www.google.it/search?q=siti+sullo+stesso+server
come avrei potuto infettare nuovamente una installazione pulita di joomla?
te l'ho detto e c'è scritto negli articoli in evidenza, ci sono vari malware che infettano il browser e i servizi ftp sul tuo pc o su quelli della tua rete
io non sto sostenendo che l'hosting non abbia problemi, ..ma ce ne potrebbero essere così tanti prima....
-
te l'ho detto e c'è scritto negli articoli in evidenza, ci sono vari malware che infettano il browser e i servizi ftp sul tuo pc o su quelli della tua rete
concordo, ma come ho detto nel primo post, se sono io ad essere infetto (browser, ftp ecc..) perchè il problema è solo su un dominio e non su tutti? Ecco perchè continuo ad insistere sul discorso hosting. Ovviamente potrei anche sbagliarmi ed è per questo che mi confronto con voi.
-
ma il sito in questione è quello che hai in firma?
-
ma il sito in questione è quello che hai in firma?
Il sito che ho in firma ha avuto gli stessi problemi la scorsa estate, mentre il riferimento all'attacco di qualche giorno fa è su un'altro sito.
-
cmq hai mischiato un po' di problemi. Cerco di chiarirti alcune cose esprimendo un po' di concetti (miei) a cappella
- Il plugin di marco potrebbe non avere la gestione degli ipv6 e quindi non bloccare l'attacco ma, per intuizione, penso pulisca cmq la stringa e manda l'email
- Attacchi, che uno se ne accorga o no, ne subiamo ogni giorno e non ci può fare nulla nessuno, o meglio, è talmente oneroso risolvere il problema che lo si mitiga in vari modi, non tutti efficaci sempre.
- il 99% sono bot o pischelli con tools. Entrambi lanciano migliaia di query alla "membro di quadrupede" e qualcuna di vulnerabilità note pescata in database, nell'attesa accada qualcosa.
- Se ad ogni attacco o stringa riconosciuta malevola si mette in moto un procedimento di: log errori, mail, scrittura sul db, ricerche varie sullo storico etc.... capisci che il server tira le cuoia dopo poco... a volte è meglio far finta di nulla o usare sistemi basati su scoring.. ma diventa complicato spiegare (e realizzare)
- I provider hanno le loro colpe e tantissime... ma non ti infilare mai in questi dibattiti se non hai la cultura per dimostrare ciò che dici, pensa a cosa puoi fare tu a meno che il tuo sito sia in pratica la tua attività. In questi casi si scelgono servizi dedicati e da diverse centinaia se non migliaia di euro... da quì in poi puoi pure denunciarlo il sysadmin :) o forse è meglio ne abbia uno tu.
- Ci sono vulnerabilità che nemmeno immagini e sicuramente qualcuna riguarda pure il core di joomla quindi il "mai" è pericoloso da usare ma non è così semplice il discorso...
- Poi c'è tutto il mondo dei malware dei browser che spesso infettano i servizi ftp...
In tutti questi casi la soluzione spesso è il backup, eseguito con una frequenza direttamente proporzionale all'interesse per la tua applicazione, conservato su una chiavetta usb.
ma anche questo non da garanzie assolute per quanto riguarda infezioni su pc che potrebbero rovinare anche quanto conservato su usb.
ps .. puoi anche provare ad installare il sito in questione su un dominio gratuito a vedere cosa succede
-
cmq hai mischiato un po' di problemi. Cerco di chiarirti alcune cose esprimendo un po' di concetti (miei) a cappella
- Il plugin di marco potrebbe non avere la gestione degli ipv6 e quindi non bloccare l'attacco ma, per intuizione, penso pulisca cmq la stringa e manda l'email
Più che problemi ho mischiato i siti su cui li ho avuti.
- Infatti la domanda che ho posto nel post iniziale (pensando erroneamente ad un indirizzo MAC e non ad un ipv6) era se il plug-in di Marco necessitava di un aggiornamento.
-
In tutti questi casi la soluzione spesso è il backup, eseguito con una frequenza direttamente proporzionale all'interesse per la tua applicazione, conservato su una chiavetta usb.
ma anche questo non da garanzie assolute per quanto riguarda infezioni su pc che potrebbero rovinare anche quanto conservato su usb.
Normalmente faccio sempre i backup di tutto, è una buona abitudine a prescindere dal discorso attacchi.
Ma credo che purtroppo e spesso anche il backup inganna. Mi spiego meglio:
il sito in firma, essendo il mio personale, non necessita di aggiornamenti nei contenuti e quindi appena terminato di realizzarlo ho effettuato il backup. Quando l'host me lo ha sospeso non mi sono preoccupato affatto, ho cancellato tutto e ripristinato il primo backup (faccio presente che dalla prima realizzazione al blocco da parte dell'host è passato circa 1 anno). Terminato di installare il backup ho effettuato gli aggiornamenti necessari (core joomla, componenti ecc..), da quel momento in poi è successo di tutto... come già scritto nei post precedenti (la sospensione per altre 2 volte consecutive del sito nell'arco di pochi giorni).
Questo farebbe pensare che anche il backup fosse infetto ma non spiega come mai ha funzionato per circa un anno. Mah!!
Purtroppo
-
ps .. puoi anche provare ad installare il sito in questione su un dominio gratuito a vedere cosa succede
ps .. puoi anche provare ad installare il sito in questione su un dominio gratuito a vedere cosa succede
E' quello che ho fatto la scorsa estate, il backup del sito "colpevole e infetto" fornitomi dall'hosting l'ho messo su uno spazio free ed è rimasto fino al periodo di natale. Ha funzionato bene senza nessun problema.
Naturalmente, di questa mia prova, ho messo a conoscenza i tecnici dell'host (tramite i vari ticket aperti in precedenza) e da quel giorno (giugno 2014) non ho più avuto problemi (sito in calce).
Coincidenza? Staremo a vedere!! 8)
In conclusione (mi rendo conto che sto allungando parecchio questa conversazione), per essere di aiuto un po a tutti quelli che hanno avuto (o avranno) il mio stesso problema possiamo dire che:
1 - leggere attentamente le vostre guide in evidenza e metterle in pratica (perchè servono a pararsi il di dietro);
2 - se malgrado quanto scritto nelle guide si continua ad avere lo stesso problema, come è capitato a me, a distanza di pochi giorni e per più volte, spostare tutto il sito su uno spazio free e tenerlo monitorato può servire a capire se effettivamente il problema è nei propri file o altrove.
Aggiungo ancora una volta un ringraziamento a tutti coloro che hanno perso il loro tempo rispondendomi anche più volte ;)
Grazie