OVH Community, your new community space.

Sito cancellato da lamer!


zorzside
14.01.2013, 17.02
Citazione Originariamente Scritto da Penna
La cosa strana è che dai log ftp non risulta nessun accesso sconosciuto, mentre dai log http si evince perfettamente il deface.
Grazie a tutti
Questa è la prova del 9, non ti hanno defacciato il sito accedendo via ftp, ma via http quindi usando l'exploit del tema.

I cms sono belli, comodi, danno la possibilità a tanti webmaster improvvisati di lavorare però... sono sfondati di bug ed exploit. Soprattutto se lavorate con materiale preconfezionato pescato qua e la.

In questo caso Ovh non ha nessuna responsabilità.

Penna
27.12.2012, 22.03
Scusatemi se sono scomparsa, ma tra le tante cose, nonostante mi fossi iscritta, non ho nemmeno più ricevuto aggiornamenti sulla discussione dopo le prime risposte (come mai????).

Comunque, riassumendo quanto successo: il problema era effettivamente relativo a un bug di sicurezza relativo a un tema wordpress (tra l'altro professionale) che però non avevo più utilizzato e giaceva semplicemente tra i temi.
Me ne sono accorta solo scaricando una delle copie di backup del sito, messo a disposizione da Ovh. Infatti, appena scaricati i file, l'antivirus ha identificato i 'colpevoli' e facendo una ricerca online ho scoperto l'esistenza di un file per il ridimensionamento delle immagini (timthumb) che originariamente aveva questa falla di sicurezza.

La cosa strana è che dai log ftp non risulta nessun accesso sconosciuto, mentre dai log http si evince perfettamente il deface.

Ho scaricato tutto, anche le copie dei file che attualmente ospita il mio spazio web (ho lasciato tutto com'era, in caso servisse una prova), oltre alle istantanee delle tracce online lasciate dal lamer.
Se tutto va bene, potrò ripristinare il sito domani, dopo aver denunciato tutto alla polizia postale.

Grazie a tutti

technofab
27.12.2012, 14.49
:: edited ::
attendiamo i dettagli di Penna per capire cosa sia accaduto, nel dettaglio. grazie per la collaborazione

torpado
27.12.2012, 14.47
Cosa cambia tra un webhosting e un dedicato, nel controllo di attività poco lecite?
Facendo riferimento alla tua domanda ti invito ad aprire un nuovo thread.

Le informazioni che richiedi non sono di utilità al caso specifico aperto da Penna.

technofab
27.12.2012, 14.19
Citazione Originariamente Scritto da torpado
cerco di essere più chiaro, facciamo un esempio :
un plugin, magari ancora in fase di test, sviluppato da tizio, non rientra nel mutuo controllo, se un cliente lo installa sul proprio CMS rischia di subire dei danni in merito al livello di sicurezza adottato.
Certamente, ma un escalation di privilegi è pur sempre un escalation, tanto per citare un esempio, dunque come controllate nel caso dei vari dedicati il medesimo controllo può avvenire anche nel semplice webhosting.

Si certo, diamo autonomia di ripristino in caso di hack grazie alle opzioni di ripristino backup, ma il mutuo controllo non comprende l'infinità di codici installabili e non potrà mai comprenderlo completamente.
Un conto è l'autonomia di ripristino che è un ottima cosa indubbiamente, ma il punto di vista mio è su un altro versante.

Cosa cambia tra un webhosting e un dedicato, nel controllo di attività poco lecite?


Imho nessuna, anche in quel caso non potete ovviamente conoscere l'infinità dei codici installabili. Quindi de facto nessuna. Notate una attività illecita e nel caso "bloccate/date un avviso". Ovvero, sarebbe utile una uniformità di "azione".

Anzi nel caso del webhosting, potrebbe risultare più facile bloccare il "sito" incriminato, senza bloccare altri servizi di webhosting.

Deve necessariamente essere applicato un controllo da chi installa il codice per avere il maggior numero di garanzie di affidibilità
Esatto e per questo stesso motivo continuo a non comprendere la differenza tra webhosting e dedicato. Entrambi i responsabili del sito dovrebbero vigilare, ma in un caso ci sono politiche antihack che si attivano, nell'altre no.

torpado
27.12.2012, 13.01
Citazione Originariamente Scritto da technofab
Mi torna poco questa cosa. Qualora ci sia un software buggato, possibile che OVH non abbia dei sistemi di mutuo controllo per bloccare certe attività ad esempio appunto shell maligne?
cerco di essere più chiaro, facciamo un esempio :

un plugin, magari ancora in fase di test, sviluppato da tizio, non rientra nel mutuo controllo, se un cliente lo installa sul proprio CMS rischia di subire dei danni in merito al livello di sicurezza adottato.

Voglio dire, fate qualcosa in caso di "hacking" di dedicati se ci sono script di siti malevoli e non lo fate in caso di webhosting?

Tanto per citare un riferimento http://forum.ovh.it/showthread.php?t=4740
Si certo, diamo autonomia di ripristino in caso di hack grazie alle opzioni di ripristino backup, ma il mutuo controllo non comprende l'infinità di codici installabili e non potrà mai comprenderlo completamente.

Deve necessariamente essere applicato un controllo da chi installa il codice per avere il maggior numero di garanzie di affidibilità

technofab
27.12.2012, 12.35
Citazione Originariamente Scritto da torpado
2. se il codice installato sul piano hosting ha dei "buchi" di sicurezza, non è il server Ovh ad essere violato, ma viene legittimata l'esecuzione di codice "indesiderato" attraverso il bug di sicurezza individuato/conosciuto sul CMS installato.
Mi torna poco questa cosa. Qualora ci sia un software buggato, possibile che OVH non abbia dei sistemi di mutuo controllo per bloccare certe attività ad esempio appunto shell maligne?

Voglio dire, fate qualcosa in caso di "hacking" di dedicati se ci sono script di siti malevoli e non lo fate in caso di webhosting?

Tanto per citare un riferimento http://forum.ovh.it/showthread.php?t=4740

torpado
27.12.2012, 11.54
Quello che mi chiedo:

1. La copia della cartella www risale a circa una settimana fa, quindi il database (se intatto) potrebbe non corrispondere perfettamente: posso semplicemente fare l'upload della cartella o è il caso di procedere a una nuova installazione del cms, copiando poi plugin, pagine e libreria?

2. Possibile che abbiano bucato il server e che Ovh non si sia accorta di nulla? In quale altro modo sono riusciti a fare una cosa del genere?

3. Devo preoccuparmi anche per il computer? Potrebbero aver agito in remoto???

3. Come posso fare per evitare che ricapiti in futuro?

4. Volendo denunciare la cosa anche alla polizia postale, mi conviene aspettare per togliere la homepage fasulla? Ovh può dare qualche dato in più sulla provenienza di tale attacco?
1. da manager puoi recuperare anche il database grazie al backup della settimana precedente :
ManagerV3 -> selezioni il dominio -> Gestione di MySQL -> Salvataggio

2. se il codice installato sul piano hosting ha dei "buchi" di sicurezza, non è il server Ovh ad essere violato, ma viene legittimata l'esecuzione di codice "indesiderato" attraverso il bug di sicurezza individuato/conosciuto sul CMS installato.

3. per escludere tutte le possibilità conviene verificare i logs ma molto probabilmente è solo un problema di plugin o parti aggiuntive del CMS non pienamente sicuri/testati

4. se hai dati sufficienti non esitare ad esporre denuncia

technofab
27.12.2012, 11.36
Citazione Originariamente Scritto da 3cl1ps3
Purtroppo il fatto è accaduto quando il supporto italiano non era attivo - come è stato annunciato anche qua sul forum: http://forum.ovh.it/showthread.php?t=4792
Certo era annunciato, ma il punto imho è un altro.

I nostri clienti sanno comunque che:
- Il supporto incidenti è sempre attivo e risponde se contattato
- OVH, come detto, mette a disposizione tutti gli strumenti per gestire questo tipo di situazioni in totale autonomia
Per usare certi strumenti bisogna conoscerli e saperli usare, in ogni caso, ribadisco che la totale assenza di feedback, soprattutto per chi è meno esperto del mestiere, non è una cosa piacevole.

3cl1ps3
27.12.2012, 11.26
Purtroppo il fatto è accaduto quando il supporto italiano non era attivo - come è stato annunciato anche qua sul forum: http://forum.ovh.it/showthread.php?t=4792

I nostri clienti sanno comunque che:

- Il supporto incidenti è sempre attivo e risponde se contattato
- OVH, come detto, mette a disposizione tutti gli strumenti per gestire questo tipo di situazioni in totale autonomia

Ti ringrazio della tua consueta gentilezza

Ciao, buona giornata

technofab
27.12.2012, 11.20
Citazione Originariamente Scritto da 3cl1ps3
Ciao Penna,

mi spiace molto per l'accaduto. Comunque non siamo latitanti

Ti posso assicurare che lato utente, la faccina non fa tanto rincuorare, anche perchè non sono tutti tecnici e anzi la totale assenza di news fa anche girare le scatole. Per dirla gentilmente.

3cl1ps3
27.12.2012, 11.07
Ciao Penna,

mi spiace molto per l'accaduto. Comunque non siamo latitanti il team incidenti è sempre attivo - ma non ne hai bisogno in questo caso: OVH ti mette a disposizione tutti gli strumenti per indagare sull'origine del problema (logs.ovh.net - trovi anche il link nel manager v3 alla sezione Hosting) e rimettere in piedi il tuo sito (ripristino degli snapshot automatici - fino a 3 settimane antecedenti la richiesta).

Su quest'ultimo punto, puoi procedere via FTP (http://guida.ovh.it/BackupHosting) o utilizzare l'apposita funzione che trovi nel manager v3 (Home > Hosting > Ripristinare il mio spazio web).

Come ti è stato detto, ripristinare tutto va bene (sempre meglio che partire da zero) ma non limitarti a questo se vuoi evitare che accada di nuovo. Segui comunque gli ottimi consigli che ti hanno dato gli altri utenti del forum e salva logs/dati presenti sul tuo piano di hosting se vuoi procedere con una denuncia.

technofab
26.12.2012, 18.01
Citazione Originariamente Scritto da Penna
Grazie a entrambi per i consigli!
Dovere

Prima di rimettere il sito online sto cercando di ripulire la copia di backup e infatti ho trovato il bug nel file php di un tema che a quanto pare permetteva l'inserimento di shell maligne.
Eccolo la... Vedi tu colpita e affondata...

La password che avevo per l'ftp era di 10 caratteri e aveva anche dei segni. Per quello pensavo fosse abbastanza sicura.
Lo so, e spesso non è sufficiente.

Certamente, l'unica nota positiva di tutta questa storia è che adesso farò molta più attenzione alla sicurezza di tutto.
Come si dice, sperando non ti offenda usando un vecchio detto, "sbagliando s'impara"....

@technofab: quando dici di cambiare casa intendi Wordpress o servizio di Hosting? Devo dire che l'assenza di una qualche assistenza è davvero frustante dato che non è un sito amatoriale ma quello della mia attività!!
Più la seconda che la prima. Se hai bisogno di consigli mi trovi nel web

Penna
26.12.2012, 16.24
Grazie a entrambi per i consigli!

Mi sento rincuorata a poter interagire con qualcuno, dato che a tutt'oggi OVH latita.
Il backup li avevo su ftp ma come una stupida recentemente non avevo scaricato nulla in locale.

Prima di rimettere il sito online sto cercando di ripulire la copia di backup e infatti ho trovato il bug nel file php di un tema che a quanto pare permetteva l'inserimento di shell maligne.

La password che avevo per l'ftp era di 10 caratteri e aveva anche dei segni. Per quello pensavo fosse abbastanza sicura.

Certamente, l'unica nota positiva di tutta questa storia è che adesso farò molta più attenzione alla sicurezza di tutto.

@technofab: quando dici di cambiare casa intendi Wordpress o servizio di Hosting? Devo dire che l'assenza di una qualche assistenza è davvero frustante dato che non è un sito amatoriale ma quello della mia attività!!

MnEm0nIc
26.12.2012, 10.42
Citazione Originariamente Scritto da Penna
Buon Natale a tutti.
anche a te!

Quello che non capisco è come abbiano potuto cancellare tutto così facilmente.
Il sito è fatto con Wordpress, ma posso affermare con sicurezza di avere le ultime versioni aggiornate sia per il cms che per temi e plugin.
visto che hai detto che han cancellato tutto, escluderei un problema dovuto a wordpress, almeno in modo diretto.
credo, piuttosto che abbiano scoperto la tua password dell'FTP, magari un po' debole (vado per ipotesi, sia chiaro).

Sono entrata nel database e sembra che tutto sia a posto: le tabelle ci sono, ma non sono una programmatrice e non so come fare per controllare che non siano state manomesse in qualche modo.
beh certo, una volta avuto accesso ai file di wordpress, sanno anche la password del database, quindi la preoccupazione e' piu' che giustificata.
per verificare che sia a posto dovresti vedere il contenuto delle tabelle e spulciare che non ci siano cose strane.

Ho aperto anche un topic nel servizio di assistenza e mandato una mail, ma ovviamente essendo Natale non mi ha risposto nessuno.
ma i ticket incidente dovrebbero essere gestiti ugualmente...

1. La copia della cartella www risale a circa una settimana fa, quindi il database (se intatto) potrebbe non corrispondere perfettamente: posso semplicemente fare l'upload della cartella o è il caso di procedere a una nuova installazione del cms, copiando poi plugin, pagine e libreria?
se nel backup hai anche il database, importa tutto alla stessa data. altrimenti non hai molte alternative:
  1. lasci il db attuale
  2. riparti da zero e reinserisci tutti i contenuti (che non so quanti sono)


2. Possibile che abbiano bucato il server e che Ovh non si sia accorta di nulla? In quale altro modo sono riusciti a fare una cosa del genere?
se avessero bucato un server di hosting condiviso ci sarebbero centinaia di utenti a lamentarsi, mentre invece - almeno sul forum - sei tu quella attaccata, quindi direi che e' una cosa se non mirata, almeno circoscritta al tuo sito.

3. Devo preoccuparmi anche per il computer? Potrebbero aver agito in remoto???
beh, in questi casi la prudenza non e' mai troppa.

3. Come posso fare per evitare che ricapiti in futuro?
prima di tutto devi capire qual e' stato il problema per poi prendere alcune contromisure.
in ogni caso, alcuni accorgimenti (che non so se segui gia') che potrebbero farti comodo:
  • usa password di 10-12 caratteri e non di senso compiuto
  • non utilizzare la stessa password su piu' account
  • conserva le password con software come keypass
  • effettua i backup settimanali, se non quotidiani.
  • effettua i backup dei backup


4. Volendo denunciare la cosa anche alla polizia postale, mi conviene aspettare per togliere la homepage fasulla? Ovh può dare qualche dato in più sulla provenienza di tale attacco?

Tra l'altro, poiché questo 'burlone' si è firmato con un nick, sono riuscita a identificare l'account YouTube e la pagina Facebook che amministra insieme a qualche altro nullafacente, dove compare perfino il link al mio sito, con tanto di dichiarazione dell'avvenuto deface. Potrebbe essere di qualche aiuto per le autorità? Non che ci conti molto, ma sono talmente furiosa che anche un semplice richiamo mi farebbe felice.
su questo non so aiutarti, senti direttamente loro.

ciao e di nuovo buon natale

technofab
26.12.2012, 10.03
Citazione Originariamente Scritto da Penna
Buon Natale a tutti.
Ovviamente, per prima cosa ho cambiato tutte le password e ho cercato di scaricare l'ultimo snapshot valido messo a disposizione da Ovh (per grazia divina).
Beh tenersi anche un proprio backup non è una cattiva idea

Quello che non capisco è come abbiano potuto cancellare tutto così facilmente.
Qualche exploit zeroday di qualcosa che usi se hai il solo webhosting, mi verrebbe da pensare e aver ricaricato tutto a com'era prima non mi sembra una buonissima idea.

Non conosco a fondo wordpress, ma potresti intanto iniziare da qui:
http://wordpress.org/extend/plugins/exploit-scanner/


Il sito è fatto con Wordpress, ma posso affermare con sicurezza di avere le ultime versioni aggiornate sia per il cms che per temi e plugin.
Sono entrata nel database e sembra che tutto sia a posto: le tabelle ci sono, ma non sono una programmatrice e non so come fare per controllare che non siano state manomesse in qualche modo.
Dovresti conoscere i dati che dovrebbero essere al suo interno. Tieni conto che comunque exploit nascono dal niente e quindi potrebbe essere tutto o nulla. Forse i log di OVH potrebbero darti qualche info aggiuntiva.

Ho aperto anche un topic nel servizio di assistenza e mandato una mail, ma ovviamente essendo Natale non mi ha risposto nessuno.



Quello che mi chiedo:
1. La copia della cartella www risale a circa una settimana fa, quindi il database (se intatto) potrebbe non corrispondere perfettamente: posso semplicemente fare l'upload della cartella o è il caso di procedere a una nuova installazione del cms, copiando poi plugin, pagine e libreria?
Ripartiresti da zero. Io farei una copia di backup del db e installerei partendo da quello, come se tu stassi cambiando hoster.


2. Possibile che abbiano bucato il server e che Ovh non si sia accorta di nulla? In quale altro modo sono riusciti a fare una cosa del genere?
Exploit, è possibilissimo che non si siano accorti.

3. Devo preoccuparmi anche per il computer? Potrebbero aver agito in remoto???
Alcuni di questi malware modificano il sito per fare scaricare un dropper che serve come veicolo di virus. Nel tuo caso c'è stato un defacciamento, non credo abbiano fatto altro.

3. Come posso fare per evitare che ricapiti in futuro?
Beh essere certa di avere l'ultima versione di ogni cosa a partire da wordpress. Per esempio andare qui http://wordpress.org/download/ e iscriverti alla newsletter che avvisa di ogni cambio. Non so che esperienza tu abbia ma manutere un sito è anche operazione di "perdita di tempo" per gli aggiornamenti. Infine valuterei "cambiare" casa.

4. Volendo denunciare la cosa anche alla polizia postale, mi conviene aspettare per togliere la homepage fasulla? Ovh può dare qualche dato in più sulla provenienza di tale attacco?
Sicuramente se la postale dovesse intervenire dopo tua denuncia OVH *forse* sarebbe tenuta a dare dati aggiuntivi.

Tra l'altro, poiché questo 'burlone' si è firmato con un nick, sono riuscita a identificare l'account YouTube e la pagina Facebook che amministra insieme a qualche altro nullafacente, dove compare perfino il link al mio sito, con tanto di dichiarazione dell'avvenuto deface. Potrebbe essere di qualche aiuto per le autorità? Non che ci conti molto, ma sono talmente furiosa che anche un semplice richiamo mi farebbe felice.
Questo si sarebbe davvero un bell'aiuto. Potresti partire da questa tua "auto-indagine".

Penna
25.12.2012, 22.50
Buon Natale a tutti.

Purtroppo quest'anno ho ricevuto un brutto regalo: ieri sera, aprendo il sito della mia attività, ho visto comparire al posto della solita homepage una pagina con uno strano logo e una firma.
Ho eseguito in fretta l'accesso all'ftp e con orrore ho visto che l'intero sito è stato cancellato! Ogni cartella, ogni file, tutto. E sto parlando di oltre 1 Giga di materiale.
Tra l'altro ho notato la data dei file sostituiti, che risalivano alla notte tra il 19 e il 20 dicembre, quindi quasi 5 giorni fa. Purtroppo ero fuori città e non mi sono accorta di nulla.

Ovviamente, per prima cosa ho cambiato tutte le password e ho cercato di scaricare l'ultimo snapshot valido messo a disposizione da Ovh (per grazia divina).

Quello che non capisco è come abbiano potuto cancellare tutto così facilmente.
Il sito è fatto con Wordpress, ma posso affermare con sicurezza di avere le ultime versioni aggiornate sia per il cms che per temi e plugin.
Sono entrata nel database e sembra che tutto sia a posto: le tabelle ci sono, ma non sono una programmatrice e non so come fare per controllare che non siano state manomesse in qualche modo.

Ho aperto anche un topic nel servizio di assistenza e mandato una mail, ma ovviamente essendo Natale non mi ha risposto nessuno.

Quello che mi chiedo:

1. La copia della cartella www risale a circa una settimana fa, quindi il database (se intatto) potrebbe non corrispondere perfettamente: posso semplicemente fare l'upload della cartella o è il caso di procedere a una nuova installazione del cms, copiando poi plugin, pagine e libreria?

2. Possibile che abbiano bucato il server e che Ovh non si sia accorta di nulla? In quale altro modo sono riusciti a fare una cosa del genere?

3. Devo preoccuparmi anche per il computer? Potrebbero aver agito in remoto???

3. Come posso fare per evitare che ricapiti in futuro?

4. Volendo denunciare la cosa anche alla polizia postale, mi conviene aspettare per togliere la homepage fasulla? Ovh può dare qualche dato in più sulla provenienza di tale attacco?

Tra l'altro, poiché questo 'burlone' si è firmato con un nick, sono riuscita a identificare l'account YouTube e la pagina Facebook che amministra insieme a qualche altro nullafacente, dove compare perfino il link al mio sito, con tanto di dichiarazione dell'avvenuto deface. Potrebbe essere di qualche aiuto per le autorità? Non che ci conti molto, ma sono talmente furiosa che anche un semplice richiamo mi farebbe felice.