Salve

si notifica che in giornata, su consiglio di Cpanel, abbiamo modificato alcune regole php visto che nell'arco di un mese (18gg per la precisione) abbiamo visto succedere ciò che non capitava dal lontano 2004, cioè deface delle index di vari siti presenti su un server, che per loro sfortuna sono vicini di casa di uno dei tanti siti che usano joomla (in questo caso) o altri cms presi di mira dai crakker.

Di solito, grazie ai bug dei famosi CMS, solo il sito stesso (quello col cms che ha il bug) veniva modificato senza andare ad intaccare le index di altri siti e questo grazie alle molteplici sicurezze che son (erano) presenti sui server.

Purtroppo siamo tornati indietro nel tempo e sembra che questi crakker ("hacker") abbiano trovato qualcosa per eludere le sicurezze e far ciò che, come detto, non capitava, almeno sui ns server,  da anni....
Cosa fanno questi "cretini"? scusate il termine
-fanno un upload sul sito dove è presente il bug del CMS
-lanciano lo script
-le index vengono cambiate/aggiunte (index.php, index.htm e html, home.htm e html)

Visto che Cpanel (coloro che seguono in primis le sicurezze dei pannelli) al momento non stà fornendo risposte esaudienti/definitive (gli aggiornamenti eseguiti in questi 18gg non son serviti a nulla) come pure i realizzatori di mod_sec per apache, dobbiamo per forza di cose seguire/ adoperaci in base ai loro consigli e applicare modifiche alle regole php. Abbiamo fornito i codici usati per defacciare le index sperando che riescano a trovare una soluzione velocemente.  Da quanto si legge in rete questi, scusate il termine, cretini si stanno divertendo parecchio in questo mese (zone-h.org) e stanno facendo vittime a gogo. E' una cosa planetaria più del normale e speriamo in una soluzione valida.

Consigli 
a) se trovate file x.txt m.txt home.htm e html index che non vi appartengono, cancellati o date chmod 0..soprattutto directory strane
Di solito su joomla le inseriscono sotto images/  images/stories   tmp/
b) salvate la index come copia sul pc e anche nell'ftp es: copia-----ind.php  in modo da ripristinare velocemente le index senza attendere il restore dei ns backup 
c) potreste anche creare un cron che ogni 30 minuti sovvrascrive la index
d) se usate i CMS andate sui siti del produttore e cercate informazioni per aggiornare lo script, come mettere in sicurezza il vs cms (ci sono molti metodi che sono di Vs competenza)

Se le modifiche del php creano problemi, potete, in autonomia, creare un php.ini nel vs account che disabilitano le nuove regole oppure aggiornare lo script.  Tale inserimento del php.ini non influisce lato server ma è solo un rischio personale. Ci dispiace se tali regole possano creare problemi ma vedersi il sito defacciato e lavorare per ripristinare siti defacciati non è assolutamente una cosa bella e sempre meno grave di mettere mano al codice e/o aggiornare lo script.
Sperando che queste piccole regole possano tutelare noi e voi, ma soprattutto che ci di competenza intervenga velocemente sui possibili bug

Auguriamoci in bocca al lupo e giorni più tranquilli
Ringraziando per la collaborazione, porgiamo Cordiali saluti



---------------aggiunta del 29/01/2013----------
sinceramente è inconsueto il poco interesse da parte degli addetti ai lavori (apache, cpanel, mod_sec, etc) visto che le risposte ricevute sono inconcludenti e assolutamente 
non applicabili agli hosting visto che si deve (come sà anche un bambino) bloccare il popen, il fopen, gli include php,  gli exec, portare il tutto a php 5.4 o 5.3..
Unico problema che gli hoster lavorano è anche grazie ai CMS che "semplificano" il lavoro di webmaster e di chi vuole fare questo mestiere. Una volta si lavora con html 
puro a mano e unico modo per penetrarti nel server è perchè lasciavi aperta la porta e non usavi assolutamente nessuna sicurezza attiva oppure facevi il sito con frontpage. 
Con i cms, forum, script famosi e bersagliati, la vita è diventata più gestibile da una parte, aumentato il mercato semplificando il tutto, ma difficile dall'altra che 
poi viene beffata  dall'hacker grazie ai buchi altrui, castigata poi dal cliente.
Inserire le cose che dicono i cari signori di Cpanel and Co (giustissimo) significa vedere il 90% dei siti non più funzionanti.... e chi deve poi rispondere? !chi vende gli spazi!.
A questo punto c'è da decidere tra varie possibilità
A) si svegliano gli adetti ai lavori? si / no
B) i clienti sanno che è così (solo lle ultime 3  ore ..dalle 18.50 alle 21.50 son stati defacciati  8250 SITI) e decidono il da farsi
C) applichiamo qualsiasi regola possibile antihack, andidown, anti!....perdendo così il 90% dei clienti

Sono scelte...e ora inizieremo a decidere

Buona serata a tutti..sperando che si riesca a dormire in pace...


----------------aggiunta del 02/02/2013-----------
qui stan facendo gli gnorri!!!!!! Consigliano cose banali  e rimedi da novizi! senza assumersi nessuna responsbailità visto che i softwware non li facciamo noi dell'hosting ma loro!!!!  E mentre loro fan gli gnorri..forse furbetti.....il numero di siti defacciati a livello mondiale aumenta in maniera esagerata.
Dalle ore 22.23 alle ore 00.22 (notificati ma eseguiti in orari precedenti) server defacciati 55,616 - siti non oso immaginare.
Stati più colpiti USA-OLANDA-MEDIO ORIENTE-RUSSIA (ci godo)- CINA.
Oggi abbiamo inserito un nuovo antivirus molto aggressivo. Molto tipologia windows. Viene aggiornato come di norma ogni notte. Può capitare, come capita per file scaricate sul PC che qualcuno capiti in quarantena. Basta segnalarlo che lo reinseriamo...se realmente falso positivo nella dir di Vs competenza
Buona notte



Lunedì, Gennaio 28, 2013





« Indietro