https://www.dragas.net/itWed, 11 Jan 2023 13:48:52 GMTNikola (getnikola.com)http://blogs.law.harvard.edu/tech/rsshttps://www.dragas.net/posts/nessun-server-e-mai-al-sicuro/Stefano Marinelli<p></p><p>...per lo meno se non lo sono i client che lo utilizzano.</p> <p>Qualche giorno fa, il provider su cui ho il server in housing (e sul quale gestisco anche alcune macchine di miei clienti) mi ha segnalato che ci sono e-mail di spam che sono andate in giro <strong>promuovendo una pagina all'interno del sito di un mio cliente. </strong>Sicuro della correttezza di quest'ultimo, che conosco da anni e che e' un gruppo di professionisti seri e affidabili, comprendo subito che qualcosa non torna. Inizialmente penso ad un errore, notando che <strong>le mail di spam non provenivano dal server in questione ma contenevano un link ad una pagina (teoricamente) inesistente.</strong></p> <p>Il sito e' su una macchina virtuale XEN dedicata, all'interno del mio server (dragas e' su un'altra macchina virtuale all'interno dello stesso server). Vado a controllare e... effettivamente noto che la pagina in questione esiste ed e' spam.</p> <p>Come ha fatto il malfattore ad entrare e a inserire i suoi contenuti? Comincio ad indagare e noto che e' entrato via ftp, utilizzando l'account principale che il mio cliente usa per aggiornare il sito. Per la password e' andato direttamente sul sicuro <strong>senza neanche fare tentativi casuali o di brute force.</strong></p> <p>Essendo non banale, deve averla saputa. Contattato il cliente che, spaventato e preoccupato, mi ha raccontato di aver effettuato un aggiornamento del sito proprio il giorno prima, da una delle macchine <span style="text-decoration: underline;"><strong><em>Windows</em></strong></span> del suo studio.</p> <p>Ho provato a risalire, essendo mia anche la gestione del server interno che hanno in ufficio (che si occupa, tra le altre cose, anche delle linee telefoniche Telecom, fonia VOIP e intrecci tra di esse), ad eventuali tracce di connessioni strane leggendo i log. In pratica, quando loro si sono connessi via ftp e' automaticamente partita una nuova connessione proprio verso l'ip incriminato,  quello del cracker. Evidentemente, <strong>la macchina Windows era affetta da qualche trojan</strong> che ha mandato tutte le eventuali password al suo creatore.</p> <p><a href="http://www.dragas.net/?p=102" target="_blank">Mi riallaccio quindi al mio post di qualche tempo fa</a>: il server e' sicurissimo, con password complesse e crittografia un po' ovunque. Eppure, questo non e' bastato per salvaguardare i dati e l'integrita' degli account in esso presenti.</p> <p><strong>Nessun server puo' ritenersi del tutto sicuro, </strong>a meno che per sicurezza non si intenda semplicemente l'impossibilita' di diventare root su di esso.</p> <p>Meditate...</p>Informatica GeneraleintrusioniLinux &amp; Dintorniserversicurezzahttps://www.dragas.net/posts/nessun-server-e-mai-al-sicuro/Wed, 27 Aug 2008 22:10:33 GMT