Sul finire del 2012 un simpatico hacker ha colpito questo sito e non solo , causando qualche problema. Indubbiamente un esperienza scomoda , soprattutto perchè venuta in un periodo piuttosto difficile, ma innegabilmente un esperienza che mi posso ora portare come bagaglio tecnico non da poco. Al di là di quello che è successo e di come sia stato risolto ( due nottate insonni tra cambi di account rubati e pulizia immediata del sito , un esperienza di cui voglio segnarmi alcuni punti da ricordare.
1. in primis devo ricordarmi che non tutti sono disponibili sotto le feste di natale…
Sembrerà naturale, ma quando gestisci siti su server altrui, trovarti a chiedere il ripristino di un backup e sentirti rispondere che il sito sarà messo off line per precauzione fino a dopo le feste ( 2 settimane di down ) , ti fa pensare che non tutti tengono al cliente allo stesso modo…
Server a parte, lo stesso Google riduce enormemente il personale sotto le feste , percui anche le richieste di rimozione malware vengono esaminate con incredibili rallentamenti.
2. Il webmaster tools è uno strumento utile per tante finalità e non solo quando si vuole posizionare un sito ( google è piuttosto reattivo nel segnalarti problemi e potrebbe accorgersi di problemi che tu potresti non vedere per settimane… )
3. La richiesta di riconsiderazione e di rimozione malware alert sono indispensabili, altrimenti anche se il sito vinee ripulito, il bot potrebbe non ripassare x diverso tempo e gli eventuali alert di google potrebbero essere un incubo a lungo.
4. Ricordarsi di sospendere eventuali campagne pubblicitarie sui siti colpiti. Google chiaramemte lo permette in pochi minuti, mentre altre campagne non ci pensano neanche!
5. Non tutti gli hosting rispondono allo stesso modo!
Personalemnte ho diverse postazioni di lavoro e cerco di tenere distinti gli account ftp proprio perchè penso che potrebbe essere importante analizzare i singoli log in casi particolari; in caso di attacco mi sono accorto che normali hosting aruba da 40 euro forniscono un assistenza impagabile , segnalando sia la modalità di intrusione, che il log delle attività svolte, identificando le modalità di intrusione e dunque la vulnerabilità del nostro sistema , fornendo poi le modalità per risolvere tali vulnerabilità… Considerando che con 5 euro forniscono anche il backup direi che sono il top. Attenzione soltanto a rilevare per tempo l’intrusione nel caso di siti poco visitati altrimenti il backup settimanale risulterà inservibile… A parte esperienza con hosting altrui di cui ho già parlato, ritengo veramente comodo il cpanel o meglio il whm per chi ha un server proprio ( ma qui si parla di cifre diverse dall’ hosting aruba. ) che permette di analizzare i log ftp molto comodamente ( sotto account functions -> Raw FTP Log Download ) . In 1 minuto si identifica l’attività svolta dall’ hacker e il whm permette addirittura di identificare anche i dati che possono essere semplicemente stati letti , come per esempio nel caso di wordpress il classico wp_config .
Considerando che qualche anno fa un amministratore di server mi aveva risposto che i log degli ftp non me li poteva fornire perchè protetti da privacy direi che avere un server proprio è una bella cosa, avere un hosting aruba è un altra bella cosa, ma più che altro un cattivo hosting è un servizio dietro l’angolo.
6. Senza vedere i log dell’ attività ftp potresti trovarti a ripristinare i file del sito e riportarlo visibile , ma nel caso di file aggiunti potresti non notare nulla…
7. ripristinare i file local sovrascrivendo tutto potrebbe non essere sufficiente ( soprattutto nel caso di file aggiunti , o nel caso di file caricati al di sotto della root del singolo dominio )
8. wordpress è veramente vulnerabile… ma di solito gli hacker attaccano prevalentemente siti oltre le 1000 visite al giorno, per ovvi motivi; ricordati di questa soglia…
ALcuni link e info che mi voglio tenere:
1. sono vulnerabili ai virus anche i mac…
2. Mediamente 12 minuti senza antivirus bastano per farsi infettare , il che vuol dire che se l’ antivirus si impalla per qualche conflitto o mille altri motivi , il virus l’hai già preso…
3. L’ antivirus deve essere versione internet security ( free o pay, il semplice antivirus non basta )
4. Conficker è uno dei più frequenti e non ti da segni paritcolari se non l’impossibilità di navigare siti come microsoft e antivirus:
- http://isc.sans.edu/diary/Third+party+information+on+conficker/5860
- http://www.navigaweb.net/2009/03/worm-conficker-tool-per-rimuovere-il.html
5. le scansioni vanno fatte sempre in modalità provvisoria
6. Avast free permette una bellissima scansione all’ avvio che rileva anche i rootkit e lavorando prima dell’ avvio di windows permette di eliminare anche quei virus che in genere si reinstallano se eliminati nella normale sessione windows.
Forse sono tutte ovvietà, ma visto che quando si capita in situazioni eccezionali non si ha una vera e propria prassi consolidata ( a meno di essere degli abituè, il che non è un bel segno… ) segnarmi qualche buona norma mi pare ora un ottima idea, se poi tornerà utile a qualcun’altro… ben venga.
Be First to Comment