Autore Topic: TCP SYN contro sito joomla 2.5 forum-consulenza.it  (Letto 2648 volte)

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
    • Progetto in costruzione: basta giocare e facciamo sul serio.
TCP SYN contro sito joomla 2.5 forum-consulenza.it
« il: 07 Nov 2014, 12:16:24 »
Citazione
TCP SYN attack = A sender transmits a volume of connections that cannot be completed. This causes the connection queues to fill up, thereby denying service to legitimate TCP users. A TCP SYN attack (also called SYN attack) is a common type of Denial of Service attack.

Purtroppo in seguito ad un ferocissimo attaccco di quel tipo ho dovuto  buttare via il dominio  forum-consulenza.it
contro quel nome a dominio si accumulavano nel server tanti errori per circa 8 giga al giorno!  inoltre dal server riuscivano ad attaccare a loro volta.
Gli attacchi duravano da diversi mesi, forse addirittura da qualche anno ma solo dal 31 ott 2014 in poi sono stati rilevati dall'abuse e quindi ne sono venuto a conoscenza in modo preciso nei suoi particolari tecnici.
Quindi mi pare doveroso comunicare anche qui:
a- per cortesia se qualcuno trovasse log di attacchi che sono riconducibili a questo episodio tenga presente che la vittima sono io e mi scuso per aver causato involontariamene qualsiasi problema e sono pronto a rispondere dei problemi.
b- agli eventuali utenti del sito e di questo forum che leggessero comunico l'accaduto e anche che torneremo presto on-line, probabilmente con un nome diverso, saranno avvisati tutti gli iscritti e chi ha pagato verrà indennizzato.
---------
Per tornare IT vorrei chiedervi se secondo la vostra esperienza  il nome a dominio  è da buttare via perdendo così tutta la indicizzazione presente oppure se può essere recuperato e come.
Grazie.
« Ultima modifica: 07 Nov 2014, 12:50:13 da 56francesco »
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Online tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 30016
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #1 il: 07 Nov 2014, 12:23:54 »
Beh il nome a dominio è solo un indirizzo che conduce ad un sito, se rifai il sito forse cercheranno di riattaccarti ma se metti le porte di ferro, puoi ricominciare.
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
    • marco maria leoni web consulting
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #2 il: 07 Nov 2014, 12:32:11 »
per prima cosa bisogna vedere se gli attacchi erano al nome a dominio o al server...
quindi cambiare server e prenderne uno con firewall ids, giusto per capire.

se non puoi usare il dominio è dura, ma se hai registrato il sito in google webmaster tool ed analytics puoi almeno dire a google che hai cambiato nome.

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
    • Progetto in costruzione: basta giocare e facciamo sul serio.
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #3 il: 07 Nov 2014, 12:45:39 »
erano contro il nome a dominio,  per quanto riguarda le difese non ho risolto fino a quanto ho trovato questo sul forum assistenza del so in uso:
Citazione
Tell your VPS provider so they can block or blackhole the traffic further upstream.
They don't want this traffic in their network, and they don't want your VPS wasting CPU cycles trying to block it with the software firewall.
e ho risolto appunto facendo puntare i dns in una area di parcheggio.
tralascio tutte le fatiche sopportate, che comunque non sono state inutili.

PS
certo potrei dire a google che ho cambiato nome a nominio, ma dovrei inserire il redirect con ht access e mi riporterei dentro tutta la monnezza.
« Ultima modifica: 07 Nov 2014, 12:48:23 da 56francesco »
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
    • Progetto in costruzione: basta giocare e facciamo sul serio.
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #4 il: 07 Nov 2014, 12:58:36 »
Beh il nome a dominio è solo un indirizzo che conduce ad un sito, se rifai il sito forse cercheranno di riattaccarti ma se metti le porte di ferro, puoi ricominciare.
sito sito è corazzato, ora più di prima, ma se qualcuno si diverte a lanciare uno script che costruisce pagine con il nome del calendario fino ad infinito anche il 404 per quanto leggero apre infinite connessioni,  cambiando ip ogni decina di tentivi per giunta, allora l'intervento va fatto molto più in alto livello,
è come se uno si presenta all'anagrafe del comune 10 volte ogni ora, 7 giorni su 7 e ogni volta chiede dove abiti, pui arriva al tuo indiricco ma invece che al portone bussa sul muro del recinto o sbatte contro le inferiate, oppure molesta il tuo cane.
deve essere l'anagrafe a dirgli che deve togliersi di torno.
questo è il caso di quel genere di attacco in parole povere.
« Ultima modifica: 07 Nov 2014, 13:01:08 da 56francesco »
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Online tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 30016
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #5 il: 07 Nov 2014, 13:00:06 »
Forse è la concorrenza?
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
    • Progetto in costruzione: basta giocare e facciamo sul serio.
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #6 il: 07 Nov 2014, 13:07:40 »
Forse è la concorrenza?
no sei fuori strada, io so la storia com'è ma non la dico qui in pubblico, 
forse ricordi che avevo anche postato qui tempo fa con qualche indizio, erano i segnali dell'attacco ma NON tutto ciò che trovavo erano attacchi,  tra gli "ospiti" oltre ai maligni c'erano anche spider dei motori di ricerca e quindi ospiti graditi, quelli delle statistiche meno graditi ma non maligni dopotutto e poi anche di molti niubboni dell'ultima ora. 
--------
Stavolta volevo solo chiedere se c'era il modo di tornare on line con qualche precauzione tecnicamente affidabile già sperimentata.
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
    • marco maria leoni web consulting
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #7 il: 07 Nov 2014, 13:34:32 »
Stavolta volevo solo chiedere se c'era il modo di tornare on line con qualche precauzione tecnicamente affidabile già sperimentata.

parti da fail2ban, comunque per me questo è un discorso da affrontare con un sistemista...
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
    • Progetto in costruzione: basta giocare e facciamo sul serio.
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #8 il: 07 Nov 2014, 13:46:18 »
Leoni forse non hai letto:

Citazione
Tell your VPS provider so they can block or blackhole the traffic further upstream.
They don't want this traffic in their network, and they don't want your VPS wasting CPU cycles trying to block it with the software firewall.

si è rivelato del tutto inutile il coso li, il sistemista cià lavorato tantissimo, ma come dicono giustamente sopra  non è quello il modo di lavorare, occorre lavorare a livello superiore.
purtroppo a livello superiore in questo mio caso per anni se ne sono elegamente dimenticati e si che li avevo avvisati pure, ovvio non sapevo allora io esattamente come era,  ma ora si.
PS
avevo anche letto il tuo articolo, bello ma si torna sempre al punto di partenza, che fare? 
occorre usare certe parole anche brusche,  sito vuori dai cosidetti!  e quello ho dovuto fare ma la situazione era compromessa da anni di incuria, non mia ovviamente.
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline steganoga

  • Abituale
  • ****
  • Post: 1313
    • Mostra profilo
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #9 il: 07 Nov 2014, 23:16:18 »
se, da come mi pare di capire, il danno professionale è notevole e vale la pena investire qualche euro in più, sicuramente l'ex mod di questa sezione, che probabilmente ricordi, può darti una mano...imo
...sono dove non ti aspetti di trovarmi, mi alimento della tua supponenza e disseto la mia curiosità nel silenzio.
Non sono un nemico, considerami un ospite.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
    • Progetto in costruzione: basta giocare e facciamo sul serio.
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #10 il: 08 Nov 2014, 11:25:42 »
se, da come mi pare di capire, il danno professionale è notevole ....
sarebbe stato un ottimo consiglio qualche tempo fa,  quando postai il problema appunto qui qualche tempo fa, adesso la soluzione è decisa,
in pratica anche dopo aver valuto le risposte ricevute non solo qui,  faremo così:
a- stesso sito ma su nuovo nome a dominio
e stop al momento ma
b- se avessimo la certezza tecnica di non tirarci dentro monezza e monnezzai  diremmo a google che il vecchio dominio è cambiato nel nuovo per recuperare la indicizzazione.

(detto tra parentesi, la mia teoria è che sono gli stessi che hanno tirato giù una intera webfarm molto nota tempo fa ed un'altra solo qualche giorno fa, quindi non c'è nessuna battaglia da combattere)
« Ultima modifica: 08 Nov 2014, 11:40:53 da 56francesco »
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline steganoga

  • Abituale
  • ****
  • Post: 1313
    • Mostra profilo
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #11 il: 08 Nov 2014, 14:34:31 »
non è che bisogna combattere guerre, bisogna capire solamente a chi stanno sparando.
L'obbiettivo sicuramente non sei tu, tu sei il mezzo per arrivare ad altri, diciamo che ti hanno clonato la carta di identità e si stanno presentando in giro col tuo nome.
Tu puoi fare la scelta di abbandonare un nome e probabilmente risolvi (ma solamente perchè cambi dns) ma se fosse capitato a google non poteva scegliere di chiamarsi newgoogle.it... e capita anche a loro e i modi di risolvere ci sono.
...sono dove non ti aspetti di trovarmi, mi alimento della tua supponenza e disseto la mia curiosità nel silenzio.
Non sono un nemico, considerami un ospite.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
    • Progetto in costruzione: basta giocare e facciamo sul serio.
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #12 il: 08 Nov 2014, 15:15:17 »
mi sembrava di averlo detto:  tramite anche quel dominio (e chissà quanti altri)  a cosa mirano,  una intera webfarm messa fuori uso, la telefonia infostrada prima e la telefonia tim fuori uso,  mica sono bruscolini.
è  "cosa loro"  si divertano pure.
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline steganoga

  • Abituale
  • ****
  • Post: 1313
    • Mostra profilo
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #13 il: 08 Nov 2014, 17:48:22 »
si, molte cose probabilmente le hai già dette ma molte più di un anno fa, in diversi post e all'inizio anche abbastanza convulsivamente, perdona se non rammento o se torno su punti già trattati.
Sulla soluzione avrei dei dubbi poichè il problema è la macchina e la gestione dei dns non il nome che scegli, potrebbero rifare la stessa cosa in qualsiasi momento.
...sono dove non ti aspetti di trovarmi, mi alimento della tua supponenza e disseto la mia curiosità nel silenzio.
Non sono un nemico, considerami un ospite.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
    • Progetto in costruzione: basta giocare e facciamo sul serio.
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #14 il: 08 Nov 2014, 20:09:01 »
Citazione
problema è ......  la gestione dei dns
l'hai detto tu non io, neè.
PS
si capisce che non fai il benzinaio quando vuoi.
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline steganoga

  • Abituale
  • ****
  • Post: 1313
    • Mostra profilo
Re:TCP SYN contro sito joomla 2.5 forum-consulenza.it
« Risposta #15 il: 08 Nov 2014, 20:45:19 »
si, sabato e domenica lascio il self-service e faccio l'informatico. domattina però ho il lavaggio auto aperto e devo lavorare
...sono dove non ti aspetti di trovarmi, mi alimento della tua supponenza e disseto la mia curiosità nel silenzio.
Non sono un nemico, considerami un ospite.

 

Host

Torna su