Joomla.it Forum

Non solo Joomla... => Sicurezza => Topic aperto da: aex - 07 Mag 2014, 22:09:19

Titolo: Disastro totale. Bucato x la 2a volta
Inserito da: aex - 07 Mag 2014, 22:09:19
L'hoster mi fa sapere che ha bloccato l'accesso al sito in seguito ad un sovraccarico del server docuto ad un eccessivo consumo della CPU.
Questo sarebbe già il secondo ripristino di backup che i tocca fare ma adesso mi sono stancato.
Devo trovare ogni modo per evitare che accada di nuovo, spero di trovare qualche componente nello JED e sperare che i cambiamenti della release di dicembre siano consistenti rispetto alla 2.5[size=78%] [/size]
[/size]
[/size]
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: giusebos - 07 Mag 2014, 22:19:43
tu sei sicuro che dipenda da joomla?

Io ho molti siti con questa versione (sempre aggiornata) di cui una bella parte con molti tentativi di injection mysql, ma ancora non sono riusciti.

Cosa fai per tenere in sicurezza il sito?
Se sei su di un server condiviso è possibile che qualche vulnerabilità di qualche sito ospitato sullo stesso server faccia da apripista.
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: mau_develop - 07 Mag 2014, 22:28:51
boh...nulla di tecnico...uno sfogo...
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 07 Mag 2014, 22:32:40
Server condiviso ma ip unico.
Purtroppo devo evitare che accada di nuovo perchè questi non avvertono è bloccano preventivamente tutto, così quando me lo comunicano vedo già la pagina bianca (quando va bene), mentre altre volte lasciano della pubblicità che non c'entra nulla (brutto modo).


Backup costanti a parte, proverò a installare "RSFirewall" e vediamo come va.






Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 07 Mag 2014, 22:33:55
boh...nulla di tecnico...uno sfogo...


Si. E' uno sfogo perchè solo le 23.00
Domani, a freddo, ci penserò meglio.


Certo non posso immaginare una reinstallazione di joomla.
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: giusebos - 07 Mag 2014, 22:35:09
che io sappia tutti i server condivisi hanno un IP unico
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: giusebos - 07 Mag 2014, 22:37:02
quello che mi dispiace quando sento questi discorsi è che siete sempre convinti che la colpa è di joomla, senza capire che se così fosse ci sarebbe una bella fetta di siti a rischio.....
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: mau_develop - 07 Mag 2014, 22:53:00
Server condiviso ma ip unico
-----------------------------------
beh, normale

Purtroppo devo evitare che accada di nuovo perchè questi non avvertono è bloccano preventivamente tutto,
------------------------------------------
giusto, se spargi malware o danneggi gli altri sul server mi sembra corretto

mentre altre volte lasciano della pubblicità che non c'entra nulla (brutto modo).
---------------------------------
si, qs nn la capisco forse è l'hosting poco serio?

proverò a installare "RSFirewall" e vediamo come va.
-----------------------------------------
te lo dico io se vuoi: male.

eppure negli articoli in evidenza è spiegato tutto.
Poi è vero quello che dice Giusebos... perchè il tuo si ed altri J + importanti no?
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 07 Mag 2014, 23:44:45
Devo trovare ogni modo per evitare che accada di nuovo,

comincia a cambiare hosting con uno più collaborativo..

una volta mi è accaduto e sono stato avvisato, con tanto di indicazione del sito e della funzione bucata..
era l'unico, sito dove usavo un certo template di una tale ditta,  cancellata pure quella.
accettano mica soldi falsi? o in ritardo?  no.
e allora se mi trattano come da contratto che hanno scritto loro io applico il contratto scritto da me, i soldi miei li do a chi mi pare.
ovvio che devi attendere la scadenza contrattuale, poi viaaaa
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 08 Mag 2014, 00:03:55
Allora: mi fanno sapere che al terzo attacco lo sospendono permanentemente.


Ho notato che nel backup di ripristino (l'unico che mi è rimasto) qualcuno era già entrato ed avevo creato un utente.


L'hoster mi ha consigliato il plugin "Anti-Brute Force", ma il problema non è il pannello di login, come del resto immagino che basti entrare in un qualsiasi sito ospitato sul dominio, per poi attaccare i siti che ci sono.


Un pò come entrare in un condominio e una volta dentro, scegliere l'inquilino.


Con la 2.5.20 ci sono novità sulla sicurezza?
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 08 Mag 2014, 00:13:51
non è questione di versione di joomla
perchè se ne sito ci ficchi alcune cose che vanno per la maggiore poi ti bucano ...

ciai un link al sito che ci do una occhiata?
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: mmleoni - 08 Mag 2014, 10:49:55
scusa ma da quello che ho capito stai ripristinando un bak up che è già bucato... inutile!


se il sito è bucato difficilmente c'è qualcosa da fare, la tematica è già stata trattata in molteplici post. leggi il topic di inizio di M_W_C.


joomla è sicurissimo, e lo sarà ancora di più appena uscita la prossima patch per i bugs che sono ancora in pochi a conoscere.  ;D ;D
e quanto sopra vale per ogni cms, le estensioni di solito sono meno sicure.


comunque io non ho mai visto un attacco brute force a joomla... mai in 11 anni...


una volta messo in sicurezza ti consiglio il mio plugin di sicurezza, ligth & free (il che non guasta).


ciao,
marco

Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 08 Mag 2014, 15:39:57
Il discorso è semplice. Io adesso vedo di ripristinare un backup pulito ma al terzo ToS, mi sbattono fuori (il che potrebbe anche non essere male)
Spero che il motivo sia proprio come dic e che non entrino da altre parti. Certamente non dall'admin.
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: mmleoni - 08 Mag 2014, 15:46:58
ma sei proprio sicuro che quel back up sia pulito? e se anche è pulito lo hanno già bucato due volte, quindi che fai? aggiorna joomla ed estensioni TUTTE, installa un plugin di sicurezza e spera che non fosse già bucato.


ps: meglio se gli aggiornamenti li fai off line, magari su una macchina locale e carichi quanto tutto a posto.


ciao

Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 08 Mag 2014, 19:41:15
E' dalle 8:00 che sono alle prese con un backup. Non ne voglio più parlare.
Non dico l'hoster solo per rispetto, ma dopo che hanno avuto un grosso problema ad aprile, non sono più gli stessi.


Pensare che è da stamattina che sono gli unici alle prese con DB/Sito e alle 17 il responsabile mi invia una mail per il server sovraccarico per la terza volta e decide di sospendere permanentemente il dominio.


Fa benissimo, per tutelare gli altri ma è alquanto improbabile perchè le mani le mani sul codice le stavano mettendo loro.


Così come non c'era verso di importare il DB .sql.
Prima mi hanno detto che dovevo rimuovere delle righe di codice. Poi, dopo 4 ore, mi hanno detto che era corrotto (balle).


Il sito è ok, ora ma secondo me il problema è solo loro. Ah, visto che è tornato bianco, l'avranno sospeso di nuovo. Dico solo che faccio le valigie, ma lo decido io.


Datemi una croce da portare, così il calvario è completo.

Chiusa discussione.
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 08 Mag 2014, 19:46:24
va bene il server sovraccarico, quello lo vede pure un bambino..

il link al sito lo hai messo?

Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 08 Mag 2014, 19:49:46
va bene il server sovraccarico, quello lo vede pure un bambino..

il link al sito lo hai messo?


no, non l'ho messo, tanto è bianco.
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 08 Mag 2014, 20:00:34
solo con un link al sito ti si potrebbe aiutare,  diversamente tutti potrebbero scrivere quasiasi cosa
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 08 Mag 2014, 21:04:32
solo con un link al sito ti si potrebbe aiutare,  diversamente tutti potrebbero scrivere quasiasi cosa


Si, ma non vorrei fare pubblicità.
Allora....a parte che senza akeeba esportare un sqp è perfettamente inutile perchè i tecnici dopo risposte random mi hanno detto che era corrotto (non ci credo).
Gli attacchi sono stati fatti sul .../administrator/index.php


Cambiato user DB, psw admin, criptato percorso di admin e bloccato IP sospetti (anche se ci vuole poco ad usare un proxy), dopo 3 tentativi di accesso a vuoto viene bannato l'IP e ho inserito il ritardo incrementale.
Vediamo come va...


Al limite rischio di rimanere fuori io....
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: mau_develop - 08 Mag 2014, 21:32:53
...guarda che così non puoi affrontare un problema di sicurezza...
ripeto che questo post ci sta tutto ma come psicodramma.

Con un rapporto come dici di avere con l'hoster è difficile risolvere problemi sia che siano tuoi che suoi; forse è questa la prima cosa da considerare.

Poi bisognerebbe capire che cosa vuol dire sovraccarico.
Ogni richiesta lecita o non lecita, malformata, brutta, in aramaico antico hai una risposta dal server quindi basta che io ti floddo di richieste che per loro è "sovraccarico"?
se è così non ti salvi più ..almeno lì
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 08 Mag 2014, 21:35:33

Gli attacchi sono stati fatti sul .../administrator/index.php


e cosa c'è scritto nel file error.php
e nel componente redirect ci sono le solite porcherie?
avevi delle capcha li dove servivano?

comunque vedo che non ti interessa risolvere il problema, salutiamo.
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 08 Mag 2014, 21:44:29
Da quello che mi dico ci sono stati una serie ti tentativi (immagino che siano i numeri tra parentesi, che ho tralasciato)

cpu_min: 65.92, ram: 428880.04 MB, disk_read: 0.05 MB, disk_write: 0.15 MB.
cpu_min: 0.45, ram: 2629.45 MB, disk_read: 0.09 MB, disk_write: 0.01 MB.
cpu_min: 0.37, ram: 1944.46 MB, disk_read: 0.04 MB, disk_write: 0.01 MB.
cpu_min: 0.33, ram: 1574.6 MB, disk_read: 0.8 MB, disk_write: 0.0 MB.
ram: 86.55 MB, disk_read: 1.35 MB, disk_write: 0.08 MB.
cpu_min: 0.00, ram: 3.27 MB, disk_read: 1.19 MB, disk_write: 0.36 MB.


Poi mi dicono che provengono tutti dalla index.php


Quindi o sistemo o me ne vado. Ho sistemato (spero). Vediamo nei prossimi giorni.



Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 08 Mag 2014, 21:47:08
Poi mi dicono che provengono tutti dalla index.php

mi pare abbastanza..
sono spammer, soliti volgarissimi spammer di m.
dai una letta a questo..

http://forum.joomla.it/index.php/topic,241026.0.html
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 08 Mag 2014, 22:11:36
Letto. Non direi dei veri e propri hacker.
Comunque si, è così. Il file error.php è di 1,5 mb e c'è una sfilza di autenticazioni fallite


Quindi basterebbe impostare un numero massimo di tentativi, con un tempo massimo incrementale, tra un tentativo e l'altro. Poi bloccare l'IP a x tentativi.


Ma il file error.php posso eliminarlo?
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 08 Mag 2014, 22:28:49
pulisci il sito ed usa htaccess

quelli sono spammer,  sia chiaro,  spammer che cercano spazi da riempire con le loro stringa di m.


PS
gli ip li trovi nel file errop.php
ammesso e non concesso che riesci ad aprirlo se è così grande..

PPS
e nel componente redirect che ci trovi?
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 08 Mag 2014, 22:32:11
dimenticavo, complimenti all'hoster che di fronte a qualcosa che somiglia moltissimo ad un attacco ddos   (forse portato proprio alle sue macchine)  si mette a cacciare via i suoi clienti paganti.
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 08 Mag 2014, 22:44:52
in com_redirect cosa devo guardare esattamente?
Quasi quasi mi conviene disinstallare il plugin


Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 08 Mag 2014, 22:46:40
dimenticavo, complimenti all'hoster che di fronte a qualcosa che somiglia moltissimo ad un attacco ddos   (forse portato proprio alle sue macchine)  si mette a cacciare via i suoi clienti paganti.




Si, però l'attacco DoS di solito parte da molti ip. L'hoster me ne ha trovati solo 2 di anomali.
Piuttosto non pensavo che dopo 3 volte che sei vittima, ..."sei fuori" [cit.]. Non so se nelle condizioni è previsto il rimborso, almeno del restante.
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 08 Mag 2014, 22:53:30
in com_redirect cosa devo guardare esattamente?
Quasi quasi mi conviene disinstallare il plugin

nel componente stesso
da pannello amministrazione di joomla apri il componente redirect  normalmente..

se è pieno di monnezza  cestina 50 elementi per volte, poi quando hai finito  apri il cestino e li elimini definitivamente 50 per per volta
ricorda 50 per volte, ci vuole pazienza..
io ci ho messo almeno 2 giorni (e notti) per ripulire la macchina  (ho una macchina dedicata)  ed era tutta attaccata dallo stesso spammer...
purtroppo un killer costa troppo, altrimenti..
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 08 Mag 2014, 22:56:13
In com_redirect ho 4 cartelle e 6 file. Sembra abbastanza pulito.




Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 08 Mag 2014, 22:57:26
Si, però l'attacco DoS di solito parte da molti ip. L'hoster me ne ha trovati solo 2 di anomali.
ho detto simile,  fatto sta che come dice questo utente  ci sono le potenzialità per bruciare anche il processore del server...
non ci vuole molto a trovare tutti i domini di uno stesso ip  e attaccandoli progressivamente la macchina  entra in tilt
quindi  è probabile che la vittima fosse proprio l'hoster

ho letto di macchini con dispositivi antiping  credo che sia riferito a questo tipo di attacco,  ma ripeto non sono attacchi questo è il normale lavoro dello spammer  e joomla presta il fianco alla grande.

Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 08 Mag 2014, 22:58:11
In com_redirect ho 4 cartelle e 6 file. Sembra abbastanza pulito.

non via ftp
entra in amministrazione
guarda in alto
menù componenti
redirect
ci clicchi su..
e scopri una cosa nuova.
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 08 Mag 2014, 23:03:36
Terribile. Vedo che qualcuno ha provato anche con /cpanel, che non uso.
Immagino che posso eliminare questi log...


Ok. Disattivato plugin
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 08 Mag 2014, 23:08:37
Ok. Disattivato plugin

furbo tu...
 :D :D
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: mmleoni - 09 Mag 2014, 07:42:15

ma che cosa state dicendo?
attacchi dos, macchine antiping (eh?), disattivare com_redirect... e spero che 'bruciare il processore' sia una battuta...
ma di che state parlando?
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 09 Mag 2014, 12:18:40
ciao mmeloni
basta rileggere quanto scritto finora.

per inciso, ho provato ad aprire un file error.php  con il mio computer, ti risparmio la marca, doppio processore, 3 giga di ram, nella partizione ubuntu e quindi con gedit,  bene si è accesa la ventola del processore e mentre solo apriva quel file  la ventola ha progressivmente aumentato la sua azione, significa che la temperatura saliva, giusto?

una volta aperto il file era impossibile navigare il testo,  per leggerlo dopo diversi tentativi sono andato ad intuito, quindi ho evidenziato il messaggio  "non hai un account e non hai una passoword"  (vado a memoria comunque quello) e quindi ho fatto crl h  cioè, trova e sostituisci con  .... campo vuoto cioè niente,   solo dopo tale operazione il file si è allegerito di tantissimo ed ho potuto leggere gli ultimi ip 
se ti pare una favola, vieni qui che ti presto il necessario per verificare..

Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: mau_develop - 09 Mag 2014, 12:31:14
...guarda che così non puoi affrontare un problema di sicurezza...
ripeto che questo post ci sta tutto ma come psicodramma.

Con un rapporto come dici di avere con l'hoster è difficile risolvere problemi sia che siano tuoi che suoi; forse è questa la prima cosa da considerare.

Poi bisognerebbe capire che cosa vuol dire sovraccarico.
Ogni richiesta lecita o non lecita, malformata, brutta, in aramaico antico hai una risposta dal server quindi basta che io ti floddo di richieste che per loro è "sovraccarico"?
se è così non ti salvi più ..almeno lì

..dai... ci riprovo..
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 09 Mag 2014, 12:38:43
M_W_C  da quanto navigo in rete il massimo del minimo è stato sempre considerato il quotarsi da soli..
è un errore di  sbaglio o ti sei davvero quotato da solo?   :)
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: aex - 09 Mag 2014, 17:09:29
ma che cosa state dicendo?
attacchi dos, macchine antiping (eh?), disattivare com_redirect... e spero che 'bruciare il processore' sia una battuta...
ma di che state parlando?


Niente di tutto questo. Solo il file di log[size=78%] [/size][/size]del redirect destinato ad aumentare e a portare via spazio[size=78%][/size][size=78%].[/size]
Attacchi sequenziali direttamente sulla index, che fanno lavorare troppo il server, col rischio di essere bannati in modo permanente, in seguito a violazione dei termini di servizio
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: mmleoni - 10 Mag 2014, 09:41:08
allora riepiloghiamo:

/administrator/index.php
hai detto che lo/hacker avevano registrato dei loro utenti, ergo è scontato che troverai un sacco di  tentativi di accesso alla pagina di login, prima tenteranno qui, poi tenteranno di ripetere l'hack. per bloccare l'accesso alla pagina bastano quattro righe di codice: due in php e due in .htaccess. ne trovi in giro diverse versioni, ve ne una anche sul mio sito, spiegata e commentata, magari ti aiuta a capire un po' come funziona la sicurezza.

com_redirect
qui trovi le pagine non trovate, non gli hacks, se non i tentativi degli imbranati. disattivarlo non dà niente in più dal punto di vista della sicurezza, ma può far perdere dal punto del seo. è comunque inevitabile che si riempa di schifezze; io una volta ogni due mesi verifico e pubblico le routes  valide e poi cancello le altre direttamente con una query sul db, questo per dirti quanta spazzatura c'è dentro. nota comunque che 20/30mila righe non sono nulla per un db...

attacchi sequenziali
bisognerebbe vedere il tipo di attacco, ma probabilmente il mio plugin (http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731), con il blocco degli ip, ti potrebbe essere di aiuto. sulla index non dice niente, in joomla /index.php è l'entry point di ogni richiesta, salvo che per gli hack basati su jce...

per una analisi specifica devi vedere i logs di apache, sono gli unici elementi validi per una analisi seria del tipo di attacco.

ciao,
marco

Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 10 Mag 2014, 10:12:32
.... col rischio di essere bannati in modo permanente, in seguito a violazione dei termini di servizio

il concetto che la vittima, cioè il titolare del sito sotto attacco, venga bannato  per tale "colpa"  è una matrice comunicativa con origini religiose, del tutto contraria alle norme del codice del consumo e alle direttive europee.

capisco che come webmaster, dal back end della rete ti possa sentire tuttologo ma lasciatelo dire,  il mondo è grande e tale matrice comunicativa è del tutto provincialotta.


Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: mau_develop - 10 Mag 2014, 12:33:53
influenze islamiche suggeriscono che chi potenzialmente può recare danno ad altri per sua o derivata incapacità deve essere isolato onde non diventare lui stesso da vittima  a carnefice...
Viene riammesso nella società solo quando risulta immune da peccati e contaminazioni
Titolo: Re:Disastro totale. Bucato x la 2a volta
Inserito da: 56francesco - 10 Mag 2014, 12:39:19
no, non mi riferivo a quelle pratiche, semmai a qualcosa di più scientifico tipo studi sociologici sulle matrici culturali, poi magari ad approfondire si potrebbero anche trovare attinenze, ma non è questo il campo.

fatto sta che un tizio viene attaccato e i nostri hoster invece di proteggerlo lo colpevolizzano e lo cacciano pure via perdendo così un cliente pagante.
di questi tempi non è solo una pratica suicida, è completamente da fessi.
i server semmai si devono proteggere dagli attacchi  (ad averceli beninteso)