• User Attivo

    THE NITHGMARE: L'incubo del webmaster si è avverato, ora cosa potrei fare? Come agire

    Allora ragazzi vi sto per raccontare la materializzazione dell?incubo di ogni webmaster.
    Ho una VPS che in parte gestivo io (creazione di hosting per i domini) e in larga parte facevo gestire a dei sistemisti.
    Ossia backup, salute della vps, ricostruzione, riparazione dei database. Il Backup era sulla stessa VPS.
    L?altro giorno mi arriva un messaggio di alcuni broken link da un sito fuori dalla vps controllo e nessuno dei 10/15 siti sulla vps non è raggiungibile. Provo ad entrate nel Plesk (avevo caricato su Parallel) ma non è raggiungibile. Negli ultimi mesi NON AVEVAMO FATTO NESSUNA OPERAZIONE, NESSUN CAMBIAMENTO SULLA VPS, se le soglie di BK venivano superate o qualcosa del genere venivo avvisato per tempo.
    Chiamo il tecnico (sistemista) e mi dice che la VPS è vuota, sento quelli di OVH (quelli che mi vendono la vps) e mi dicono che loro del contenuto non sanno niente e di guardare i log. Sento il tecnico e mi dice che il problema è che non c?è nulla totale, deserto assoluto= NEANCHE I LOG !!!
    Ok panico a mille, per fortuna i siti li hò mentre un forum ho un bk del 2015 !!! Cmq ora mille domande attraversano la mia testa e vi chiedo di darmi un supporto morale da una parte (diciamo che stanotte ho dormito veramente male?) e un supporto lato tecnico dall?altro.
    Quelli di OVH dicono che magari è stato il sistemista a fare qualche cacchiata e quindi per non lasciare tracce ha cancellato anche i LOG. Oppure dicono che magari uno script dei miei siti era bucato e quindi un hacker ha cancellato tutto.
    Io aimeh non ci capisco niente o troppo poco ma devo agire, non è possibile che succeda una cosa del genere senza che sia stata registrata una attività e che questa sia accessibile quindi el domande al quale vi chiedo di rispondermi per venirmi in aiuto sono:

    • Se un hacker buca un sito, quindi sfonda già una barriera riuscendo ad accedere a tutta la VPS e cancellarla non avrebbe sfondato anche un altro muro entrando nel server vero e proprio cancellandolo? Oppure un Hacker non avrebbe lasciato il segno o una richiesta di soldi?!?

    • Quindi se è stato un hacker voi dite che OVH non ha nessuna responsabilità sulla sicurezza ?!?

    • OVH mi dice che ha dei BK vecchi solo di 24 ore e quindi se 24 ore prima la vps era vuota quindi anche il BK è vuoto. Secondo voi le rindondanze dei sistemi ha senso che abbiano dei BK di solo 24 ore? Non è un disservizio ? (io non pagavo a loro un servizio di BK ma però gli ho detto. Guardate che se non trovo una copia dopo anni i miei ?350-500 euro annui non li prendete più? So che avete dei BK perché se vi brucia il palazzo voi dovete avere dei mirror altrove?) Insomma dite che a livello contrattuale avere una copia di 24 ore è attaccabile ?!?

    • Oppure OVH chiede a me il LOG della VPS che non esistono perché spariti. Ma loro non dovrebbero avere i LOG del SERVER !?!? Posso chiederglieli? Con una azione legale sono obbligati ad averli consegnarli ?!?

    • Domanda tecnica. Quando qualcuno si collega alla mia VPS backoffice vengo avvisato se un hacker entra nel backpoffice dote che la segnalazione non arriva ?!?

    • E ancora se OVH fa una cazzata qualsiasi e non vuole farsi TANARE non basta fare esattamente così? Ossia cancellare tutto completamente e dire che loro non sanno neanche cosa c?è dentro?

    • Ma andiamo sul sistemista cosa mai avrebbe potuto fare per cancellare tutto ?!? mi sembra tanto assurdo? Capisco cancellare un sito o un DB ma anche l?installazione del parallel e del plesk ?!?

    Insomma vi chiedo di rispondere a tutte le domande anche con un semplice si o no. E/o darmi una mano su come posso agire. Ci sono dei cyber avvocati? O degli investigatori privati cyberg? Voi cosa fareste e come lo fareste? Per ora non è colpa di nessuno e non si sa cosa è successo. Si esattamente così:

    • Non è colpa di nessuno (o di tutti)
    • E non si sa cosa è successo?

  • Moderatore

    @Muzak said:

    Se un hacker buca un sito, quindi sfonda già una barriera riuscendo ad accedere a tutta la VPS e cancellarla non avrebbe sfondato anche un altro muro entrando nel server vero e proprio cancellandolo? Oppure un Hacker non avrebbe lasciato il segno o una richiesta di soldi?!?

    Non necessariamente, magari ce l'ha proprio con te. Oppure non ha i mezzi per attuare una vm escape. Per i soldi, beh, se motivato dal denaro ovviamente, ma se e' uno script kiddie magari voleva fare solo "uno scherzetto".

    @Muzak said:

    Quindi se è stato un hacker voi dite che OVH non ha nessuna responsabilità sulla sicurezza ?!?

    Dipende. Se il VPS e' managed possono avere responsabilita' se non hanno approntato tutti i bugfix necessari e disponibili. Se sono arrivati al tuo vps perche' penetrati nella rete di ovh, ovviamente ovh ha delle responsabilita'. Ma se hanno usato delle vulnerabilita' nel tuo vps e il vps non e' managed, direi che di responsabilita' non ne hanno.

    @Muzak said:

    OVH mi dice che ha dei BK vecchi solo di 24 ore e quindi se 24 ore prima la vps era vuota quindi anche il BK è vuoto. Secondo voi le rindondanze dei sistemi ha senso che abbiano dei BK di solo 24 ore? Non è un disservizio ? (io non pagavo a loro un servizio di BK ma però gli ho detto. Guardate che se non trovo una copia dopo anni i miei €350-500 euro annui non li prendete più… So che avete dei BK perché se vi brucia il palazzo voi dovete avere dei mirror altrove…) Insomma dite che a livello contrattuale avere una copia di 24 ore è attaccabile ?!?

    Anche in questo caso dipende dal tipo di servizio che hai comprato. Nel contratto dovrebbe essere specificato in cosa consistono i backup, quanti ne vengono fatti e per quanto tempo vengono conservati.

    @Muzak said:

    • Oppure OVH chiede a me il LOG della VPS che non esistono perché spariti. Ma loro non dovrebbero avere i LOG del SERVER !?!? Posso chiederglieli? Con una azione legale sono obbligati ad averli consegnarli ?!?

    Loro possono avere un log che descrive le attivita' di rete sul server fisico. A seconda del filesystem utilizzato ( e delle politiche implementate ), potrebbero avere degli snapshot periodici dei file delle virtual machine.

    @Muzak said:

    Domanda tecnica. Quando qualcuno si collega alla mia VPS backoffice vengo avvisato se un hacker entra nel backpoffice dote che la segnalazione non arriva ?!?

    E' implementato un meccanismo del genere? Un hacker ti buca sfruttando una vulnerabilita' e apre una sua shell ( in genere root ) sul vps. A meno che il sistema di login non sia specificamente configurato per inviare un'email ad ogni connessione, non vedo come possa succedere.

    @Muzak said:

    E ancora se OVH fa una cazzata qualsiasi e non vuole farsi TANARE non basta fare esattamente così? Ossia cancellare tutto completamente e dire che loro non sanno neanche cosa c’è dentro?

    Avendo il controllo dei server fisici possono fare tutto. E il tuo caso potrebbe anche dipendere, per esempio, dall'uso di btrfs come filesystem che non e' nuovo a perdite catastrofiche di dati. Ma siamo nel campo delle speculazioni.

    @Muzak said:

    Ma andiamo sul sistemista cosa mai avrebbe potuto fare per cancellare tutto ?!? mi sembra tanto assurdo… Capisco cancellare un sito o un DB ma anche l’installazione del parallel e del plesk ?!?

    Il sistema, con accesso root, puo' dare il comando rm -rf / e ti cancella tutto il contenuto del disco virtuale.

    @Muzak said:

    Insomma vi chiedo di rispondere a tutte le domande anche con un semplice si o no. E/o darmi una mano su come posso agire. Ci sono dei cyber avvocati? O degli investigatori privati cyberg? Voi cosa fareste e come lo fareste? Per ora non è colpa di nessuno e non si sa cosa è successo

    Io avrei tenuto dei miei backup almeno giornalieri, su macchine che controllo direttamente e/o su 2-3 server remoti diversi.

    Poi e' importante leggere per bene i contratti quando si compra una vps/server o quello che e' e verificare se le feature presenti sono adeguate all'uso che bisogna fare del vps. Un e-commerce, per esempio, non puo' permettersi di perdere piu' di 2-3 ore di dati e deve avere la certezza assoluta di poter disporre degli ultimi backup validi ( cioe' quelli con i dati corretti ).

    L'unico neo nella spiegazione di ovh e' che loro non avrebbero nessun tipo di traccia a disposizione, perche' non e' possibile in quanto i dati arriva al server fisico prima di essere inviati alle vm. Pertanto se c'e' stato un attacco hacker, molto probabilmente avra' visto un abnorme traffico in entrata composto da strane stringhe GET o similari.

    Loro non possono ( troppo costoso ) loggare le comunicazioni dei web server, ma di sicuro loggano i volumi di traffico, le porte e gli ip su cui il traffico e' diretto.

    Quel che e' certo e' che indizi di sicuro ci sono da qualche parte in quei server, qualcuno e' sicuramente stato e tracce ci devono essere per forza ( che magari conducono ad un ip in Congo, ma ci devono essere ). Il problema e' fargliele tirare fuori e credo che serva un processo per questo.

    p.s. ovviamente il sistemista pure puo' dover rispondere se il contratto con lui prevedeva, che so, la creazione di backup giornalieri, conservati in modo e luogo sicuri. Se non l'ha fatto ha violato il contratto.

    Inoltre e' importante comunque denunciare la faccenda alla postale, in quanto essendoci una mostruosa opacita' su tutta la storia, non e' chiaro cos'altro sia potuto succedere a quel vps in passato. Ad esempio non e' raro che venditori di materiale pedopornografico ( o altra roba molto molto illegale ) hackerino vps e server, per usarli come "propri" spazi hosting per svolgere le loro attivita'. Magari non e' minimamente andata cosi', ma la prudenza non e' mai troppa.


  • User Attivo

    GRAZIE ENORMEMENTE PER LA RISPOSTA MOLTO UTILE ED ESAUSTIVA.

    Quindi dici di andare alle poste... Ok farò questo ma per attivare un cyberg investigatore dove vado? Ci dovrebbero pensare le poste ?!? (non nutro molta fiducia...)


  • Moderatore

    @Muzak said:

    Quindi dici di andare alle poste... Ok farò questo ma per attivare un cyberg investigatore dove vado? Ci dovrebbero pensare le poste ?!? (non nutro molta fiducia...)

    No intendevo la polizia postale mica le poste italiane. Sono loro ad avere il monopolio nell'investigazione dei reati telematici. Certo sarebbe meglio se riuscissi a procurarti piu' informazioni possibili, almeno per capire se c'e' stato un reato o se si e' trattato di un banale errore.

    Il sistemista e' la figura chiave in questi casi e sarebbe anche quello con le competenze per fungere da cyber investigatore.


  • User Attivo

    Il sistemista ha verificato lo stato del disco?

    Link alla pagina della polizia postale: https://www.commissariatodips.it/ ma tieni conto che se il VPS è stato danneggiato di proposito e chi la fatto è bravo avrà anche cancellato tutte le tracce compresi i log, a parte questo OVH dovrebbe avere gli ip degli accessi alla rete e al tuo VPS.

    Un hacker/lamer lascia sempre una firma sulla macchina.

    Ciao.


  • User Attivo

    Un haker lascia sempre una firma sulla macchina. Appunto so che sono esibizionisti...
    Il sistemista dice che essendoci il vuoto siderale non sa e non riesce a dirmi niente... Dentro la VPS non c'è assolutamente nulla....


  • Moderatore

    Ma perche' non comincia a fare un recovery con ddrescue e testdisk/photorec? Cosi' puo' almeno recuperare frammenti dei file cancellati, giusto per cercare di capire cos'e' andato storto.


  • Super User

    Scusate in anticipo il mio intervento a "gamba tesa" in questa discussione...
    Intanto non entro nel merito della faccenda, ma tocco solo un punto "CRUCIALE" della questione in essere.

    Domande:
    Che senso ha avere un backup dei dati all'interno dello stesso server?
    Non era meglio organizzarsi per tempo e cercare di salvare i dati (web / database / email) in un altro server diverso da OVH e geograficamente distante?

    Premesso che i dati di una VPS, per giunta di OVH, non vengono persi perché OVH ha commesso degli errori... inoltre è una cattiva pratica far gestire un server a più sistemisti (se non coordinati potrebbero fare parecchi pastrocchi).

    In definitiva, e concludo, quando si gestiscono dati IMPORTANTI su server (siano dedicati o virtuali fa poca differenza) è buona regola sincronizzare i dati su un altro server... nella peggiore delle ipotesi puoi perdere pure un'intera giornata, ma rimetti tutto online e limiti i danni al minimo.

    Buona continuazione...


  • User Attivo

    @Xlogic said:

    Il sistemista ha verificato lo stato del disco?

    Link alla pagina della polizia postale: tieni conto che se il VPS è stato danneggiato di proposito e chi la fatto è bravo avrà anche cancellato tutte le tracce compresi i log, a parte questo OVH dovrebbe avere gli ip degli accessi alla rete e al tuo VPS.

    Un hacker/lamer lascia sempre una firma sulla macchina.

    Ciao.

    Ecco cosa mi risponde OVH e questo mi sembra strano veramente: "Gentile Cliente,

    Ho capito benissimo a quali log lei farebbe riferimento, ma purtroppo le confermo quanto già indicato.

    OVH non mantiene i log di accesso alle infrastrutture fisiche sulle quali si trovano i VPS degli utenti,
    gli unici log che avrebbe a disposizione, sarebbero quelli interni al VPS stesso, che però non esistono più.

    Confermo quindi nuovamente che non disponiamo di alcun log da poterle fornire in questa situazione,
    perché non ne esiste alcuno, indipendentemente dalla gravità della situazione.

    Se desidera aggiungere delle informazioni a questo ticket, o se necessita di ulteriore assistenza risponda pure a questo messaggio e provvederemo a fornirle il supporto necessario.

    Cordiali Saluti
    "

    Quindi se uno fa un uso criminoso della mia VPS "pedofilia, pornografia illecita vendita organi" loro NON hanno registrato NULLA, per assuro non possono NE dire che non sono loro stessi a farne uso, ne tu ne nessuno...

    E' così libero il mondo del web che uno può ospitare qualcosa senza neanche registrare chi accede e da dove ?!?


  • Moderatore

    @Muzak said:

    OVH non mantiene i log di accesso alle infrastrutture fisiche sulle quali si trovano i VPS degli utenti

    Buono a sapersi, adesso so dove hostare eventuale materiale compromettente. Mi basta un wipe del vps, et voila', la polizia e' fregata. Mah!

    @Muzak said:

    E' così libero il mondo del web che uno può ospitare qualcosa senza neanche registrare chi accede e da dove ?!?

    Non che io sappia, anzi c'e' la dragnet della NSA che registra tutte le comunicazioni in transito su almeno meta' della rete internet.

    Capisco che non abbiano i log del server http, ma dire che non hanno gli ip della gente che si e' connessi ai vps hostati su quel server fisico.


  • User Attivo

    Rispondono così:
    Gentile Cliente,

    Perfetto, le forze dell'ordine sanno già come collaborare con noi
    per questi casi, eventualmente ci possono contattare telefonicamente
    per tutte le informazioni di cui avessero bisogno.

    Cordiali Saluti

    Cioè sono proprio sereni... Mmm direi che nonostante i nostri desiderata il mondo non va come vorremmo ossia li leggo troppo sereni perchè abbiano qualcosa da "nascondere" ossia sono sereni del fatto che possono non tenere niente o frse fanno alsuper caxxola alla polizia postale e saranno abitati a sentirsi dire "ahhh si capisco no scusi il disturbo..."


  • Moderatore

    Per legge devono detenere per 2 anni una serie di informazioni, tra cui gli ip. Per cui se non li hanno, mi sa che hanno ben poco da stare sereni.

    Poi vabbe', alle mail rispondono in genere impiegati stanchi e sottopagati, figurati quanto gliene importa che la compagnia possa finire nei guai.

    Il problema e' che non collaborano. E che comunque hai perso i dati. Io comincerei col provare ddrescue e testdisk sul vps, per cercare di recuperare almeno parte dei dati, giusto per vedere se c'e' qualche traccia analizzabile e che indichi cos'e' successo. Il contenuto di un intero vps non puo' sparire nell'aria senza che nessuno se ne accorga. Poi ci sarebbe da approfondire il discorso dei backup, ovvero per quanto tempo li conservano, perche' mi pare strano che appena fatto un backup, il/i precedente/i si eliminano all'istante.


  • User Attivo

    Muzak, i VPS di OVH sono unmanaged, per cui anche la conservazione dei log è a carico dell'utente. Avresti dovuto chiedere al tuo sistemista di registrare i log del VPS in remoto o almeno di sincronizzarli all'interno di una risorsa diversa dal VPS. In questo modo avresti potuto consultarli anche dopo un evento simile. Questo magari può esserti utile in futuro.

    Paolino, l'obbligo dei 2 anni si riferisce ai soli tabulati telefonici (che ovviamente non sono di competenza di OVH) mentre i "log di accesso alla rete" vanno detenuti per 12 mesi. Ma per log di accesso alla rete la giurisprudenza è abbastanza concorde sul considerare tali quelli con cui ci si collega ad Internet tramite il proprio ISP, ossia quelli generati dalla connessione dell'ADSL, fibra, connessione mobile o quello che sia. In pratica, riguarda i fornitori di questo tipo di connessioni (TIM, Wind, Vodafone, H3G, etc.). Quindi non c'è un limite temporale esplicito per la detenzione dei log di accesso ai sistemi o ai singoli servizi. Puoi non essere d'accordo (infatti non tutti lo sono) ma di fatto la situazione è questa.

    Quindi, OVH è serena perchè:

    • essendo un VPS unmanaged, Muzak avrebbe dovuto fare tutto il possibile per conservare da sè i log
    • non c'è un obbligo chiaro per la detenzione di questo tipo di dati
    • i server di OVH non sono fisicamente ubicati in Italia, per cui non sono costretti a fornire dati alle autorità italiane, anzi la legge francese potrebbe pure vietarglielo

    Per una maggiore tutela su questo tipo di eventi, è consigliabile sempre usufruire di servizi di aziende italiane con server in Italia (e che magari conservino almeno 1 settimana di backup dei propri VPS....).


  • User Attivo

    @Shazan dalle mie ricerche sembra che tu abbia perfettamente ragione soltanto che su:

    • 5 sistemisti in totale (4 con partita iva quindi non improvvisati)
    • nessuno di questi mi ha consigliato di fare i BK su altra macchina, anzi si sono fatti pagare per settare i BK sulla stessa VPS
    • figuriamoci i log BK in remoto

    Come puoi leggere sopra ci sono idee discordanti e ovviamente questo oramai entra a far parte del mio bagaglio quindi al prossimo sistemista sarò IO a dirgli FAI i BK in remoto su altre VPS. ma capisci bene che non dovrei essere io a saper queste cose...
    Io faccio altro...

    Grazie per le info...


  • Super User

    Scusami per le battute che sto per fare... 5 sistemisti che fanno il backup sullo stesso server? 5 su 5 sono così idioti? E li hai pure pagati per questo INUTILE setup?
    È proprio vero, con un Plesk e un cPanel sono tutti sistemisti...
    Caro Muzak, purtroppo in questo settore ci sono troppe persone che si improvvisano.
    OVH che perde i dati di un server virtuale? Non sta né in cielo né in terra, per logica sono più propenso a credere che uno dei sistemisti abbia letteralmente "formattato" il server.

    Ci sono moltissime aziende italiane ed estere che forniscono servizi FULL MANAGED, sia virtuali che dedicati, con backup dei dati su server geograficamente distanti da quelli di "produzione".
    Qualsiasi motore di ricerca può correre in tuo aiuto nell'effettuare tale ricerca.

    Good hacking.


  • User Attivo

    Francois ti rignrazio per le dritte. Quando scadrà l'abbonamento con OVH probabilmente cercherò un full managed. Credimi che per chi viene da fuori non è così facile districarsi...
    Avevo trovato un servizio (forse qui sul forum...) emergenzainformatica questi erano stati i primi ma il sito è sparito sembrava una cosa grossa.

    Mi sapresti dire come selezionare dei sistemisti ?!? da cosa capisco che sono seri ?!?
    Tu sei un sistemista ?!?


  • Super User

    Ciao Muzak, scusami se rispondo solo adesso ma sono sempre pieno di impegni di varia natura 😄
    Hai evidenziato che su 5 sistemisti, quattro erano (o sono) titolari di P.IVA... all'interno della mia organizzazione a soggetti del genere affidiamo la manutenzione dei servizi igienici...
    Chiusa la parentesi, ti ho già scritto che molti si improvvisano, sanno utilizzare solo i pannelli di gestione (Plesk, cPanel, Directadmin etc.) ma non hanno mai utilizzato una bash shell in tutta la loro vita...
    Vorresti organizzare una selezione? Se ti occupi di altro che metrica utilizzeresti per valutarli?
    Come in tutti i settori, quelli in gamba sono scappati all'estero...

    Certo che sono un sistemista, però ti invito a non avanzarmi richieste di supporto per due motivi:

    • Sono moderatore di questa sezione;
    • Da oltre un anno non lavoro più con clienti italiani.

    Buona ricerca...


  • Moderatore

    Ciao Ragazzi;

    Quello che penso io invece che molto probabile che qualche sistemista abbia cancellato intera partizione:) e purtroppo ci sono molte persone false che si fingono di fare sistemisti e come è gia stato detto tutti sanno installare un semplice panello.

    Riguardo poi al fatto dei log confermo che ovh non conserva i log anche se sono su vps e posso dire per esperienza che non sono obbligati.

    Riguardo al fatto dei backup io ai miei clienti consiglio sempre un server esterno magari anche uno piccolo (tipo un kimsufi) alla quale si a accesso anche se cade tutto il server poi dico io? plesk? il numero uno di chi buca è proprio il plesk se non è correttamente aggiornato.

    Riguardo alla scelta ti consiglio di prendere dirittamente una azienda che ti fornisce anche la vps in modo che se qualcosa ai tutto in uno.


  • Super User

    Chiariamo una faccenda che a mio modesto avviso può creare molta confusione:
    dove sta scritto che un titolare di partita IVA è sinonimo di sicurezza e garanzia?
    Ho superato da poco la soglia dei 40, e ho a che fare con l'informatica dal 1984... mai come negli ultimi anni ho visto una crescita così esponenziale di esperti, guru e hacari.
    Con questi occhi ne ho viste di tutti i colori... mezzi smanettoni (che non hanno mai visto una sola linea di codice) senza conoscenze teoriche e con una curva di apprendimento sbalorditiva: gente che nel giro di una notte ha imparato a gestire e amministrare intere farm...
    Ma per favore... son tutte braccia rubate alla terra (ammesso che la sappiano lavorare).

    Good hacking.


  • User Attivo

    Si certo capisco e condivido la partita iva non è garanzia totale, anzi forse neanche mezza. Certo che un lavoro fatto in nero o da aziende con poca esperienza statisticamente potrebbero essere peggio no ?!?
    Inoltre trovo scomodo a fine anno dover mandare gli UNI alle perosne che mi hanno fatto la ritenuta d'acconto e ancora mi fa pensare che se fanno ritenuta d'acconto non hanno molto fatturato, quindi non hanno molti clienti, quindi non hanno molta esperienza.

    Ovviamente pareri personali....