Multihosting e sito "taroccato"

[Licantropo]

Salve, ho cercato una sezione "Sicurezza" ma non la ho trovata, per cui posto in questa sezione.

Premessa: mi gestisco uno spazio multidominio dove ho alcuni siti Joomla miei e di qualche amico, fra questi ultimi uno è stato "bucato" da parte di terzi durante un'attività di manutenzione, in seguito si sono presentate anomalie di vario genere e sono sempre comparsi nuovi admin sconosciuti.

Non avendo io le competenze necessarie, ho invitato più volte il proprietario ad affidarsi a tecnici competenti per il ripristino del sito, ovviamente senza mettere le mani sul mio hosting ma trasferendo loro copia del sito e del DB.

Ora vi chiedo: in fase di manutenzione del sito, che avverrà su altri server/hosting, potrebbe essere ulteriormente "hackerato" in modo da compromettere in futuro le funzionalità del hosting? Trattandosi di un servizio multidominio, potrebbero essere compromessi anche gli altri siti presenti?

In altre parole esistono potenziali rischi nel "riportarsi a casa" un sito che è già stato "bucato" e potrebbe esserlo ulteriormente?

 

[Shazan]

Ciao Licantropo,

sì, assolutamente. I tuoi timori sono fondati, nel senso che se non viene individuata e rimossa l'origine della compromissione, anche se il sito viene ripulito, potrebbe subire ulteriori compromissioni.
Se il tuo hosting multidominio fa girare tutti i domini sotto un unico utente, ossia accedendo via FTP vedi tutti i domini in esso ospitati, il software maligno installato su quello compromesso può essere facilmente utilizzando per carpire informazioni degli altri domini (es. password di MySQL) o compremettere anche quelli. Se hai, invece, la possibilità di separare i domini in account/utenti indipendenti, diventa molto più difficile far propagare i problemi da un sito all'altro.

Buon Natale.

 

[Licantropo]

Ciao Shazan,
sì, il mio hosting multidominio fa girare tutti i domini sotto un unico utente.
Non so se come utente ho la facoltà di modificare questo tipo di organizzazione, ne dubito ma chiederò al provider.

Auguri anche a te di Buon Anno.

 

[Salvatore HeadWolf]

Per sicurezza si potrebbero cambiare gli accessi FTP (username e password), proprio per evitare problemi in futuro.

 

[Licantropo]

Dopo essermi informato da più fonti, mi è parso di capire che la soluzione più sicura siano più hosting singoli o un server.
Me lo confermate?
Una sottoscrizione del proprio server equivale ad un singolo hosting?

 

[Licantropo]

Per sicurezza si potrebbero cambiare gli accessi FTP (username e password), proprio per evitare problemi in futuro.

Se i siti sono stati "bucati" credo che non cia sia password che tenga.

 

[Shazan]

Dopo essermi informato da più fonti, mi è parso di capire che la soluzione più sicura siano più hosting singoli o un server.
Me lo confermate?

Ritengo di sì per più hosting singoli, per quanto riguarda il server, dipende da chi e come lo gestisce.
E poi, se i domini sono pochi o non hanno particolari esigenze, un server dedicato è decisamente una spesa impegnativa, soprattutto se hai bisogno di assistenza sistemistica per gestirlo. A questo punto potrebbe invece convenire un piano reseller o un VPS.

 

[Licantropo]

Ciao Shazan,
forse mi sono espresso male, ma per "server" intendevo un VPS.
Lo so che con più hosting singoli potrei risolvere il problema e dormire sonni tranquilli, ma in questa fase mi si dice che c'è bisogno di un accesso SSH e i providers non te lo danno, per questo sto valutando le offerte di VPS.

Le competenze richieste per gestire un server, non sono le stesse che servono per gestire un VPS?
La mia esperienza sistemistica è pari a ZERO, pertanto sono consapevole che l'assistenza sarà la componente più onerosa.
Non ti nascondo che nel contempo sono anche stimolato a conoscere qualcosa in più, ma sono convinto che sia un'impresa ardua.

Parlando di Plesk, cosa ne pensi di Joomla! Toolkit?

 

[Shazan]

Un VPS è come un server dedicato, per cui le conoscenze sistemistiche necessarie per gestirlo sono le stesse, per cui, anche in caso di VPS, ti servirà un servizio "managed" se vuoi stare sereno.
Se vuoi imparare, ti consiglio di farlo in locale, installato linux su qualche macchina virtuale e non "live" con dei siti in funzione.

Non so darti indicazioni su "Joomla! Toolkit" perchè noi usiamo Softaculous o Fantastico, che consentono l'installazione e la manutenzione di centinaia di applicazioni e non solo di Joomla, però suppongo che funzioni e che faccia il suo dovere.

 

[Licantropo]

Ciao Shazen, grazie per i tuoi chiarimenti.
Per cominciare mi basterà l'approfondimento del pannello Plesk, il resto lo lascio al provider e/o a chi mi assisterà.

 

[Licantropo]

Ciao Shazan, rileggendo le tue risposte mi è sorto quanche nuovo quesito...

sì, assolutamente. I tuoi timori sono fondati, nel senso che se non viene individuata e rimossa l'origine della compromissione, anche se il sito viene ripulito, potrebbe subire ulteriori compromissioni.

Che differenza c'è fra ripulire un sito e rimuovere l'origine della compromissione?
Mi parrebbe ovvio che la sistemazione e ripristino contempli entrambi, altrimenti che senso avrebbe? Sarebbe come cacciare i ladri lasciando poi la porta aperta.

Se il tuo hosting multidominio fa girare tutti i domini sotto un unico utente, ossia accedendo via FTP vedi tutti i domini in esso ospitati, il software maligno installato su quello compromesso può essere facilmente utilizzando per carpire informazioni degli altri domini (es. password di MySQL) o compremettere anche quelli. Se hai, invece, la possibilità di separare i domini in account/utenti indipendenti, diventa molto più difficile far propagare i problemi da un sito all'altro.

Come ho già precisato sopra, il mio hosting fa girare tutti i domini sotto un unico utente. Ho sempre trovato questa possibilità molto comoda, un unico login, o connessione FTP, ed eccoli tutti quanti a portata di mano. non avevo mai pensato che questo vantaggio potesse essere anche un rischio così elevato.

Trattandosi di un hosting multidominio, è possibile separare i domini in account/utenti indipendenti?
Se sì, in che modo?

 

[Shazan]

Che differenza c'è fra ripulire un sito e rimuovere l'origine della compromissione?

Ripulire il sito significa togliere malware, backdoor, etc mentre rimuovere l'origine della compromissione significa analizzare i log ed appurare le modalità con cui questi sono stati pubblicati la prima volta. In conseguenza di ciò, oltre a ripulire il sito, occorrerà probabilmente aggiornare il codice, cambiare le password, etc a seconda di come sono entrati.

Trattandosi di un hosting multidominio, è possibile separare i domini in account/utenti indipendenti?
Se sì, in che modo?

Questo dovresti chiederlo al tuo attuale fornitore, dipende dalle caratteristiche del piano che hai acquistato e da come sono configurati i server.

 

[Licantropo]

Grazie delle precisazioni!

Per quanto riguarda l'identificazione degli hacks e loro rimozione, esistono pacchetti sw in grado di operare sia sui siti online sia offline? Se sì, quali sono i più completi ed affidabili?

 

[Shazan]

Sui server che gestisco, in genere parto da una scansione con maldet e ClamAV (con delle signature aggiuntive) e poi, in base a quello che emerge, vedo di approfondire con altri strumenti. Se non trovo nulla con i precedenti e la cosa non mi quadra, uso findbot.
Non uso mai servizi di scansione effettuati tramite siti esterni, non mi fido.

 

[Licantropo]

Grazie Shazan per le tue indicazioni.