Apri Menu Chiudi Menu
Libre Creative Suite
Libre Creative Suite: libera la tua creatività

Errore 403, remote shell, sito compromesso e legge di Murphy

Remot Shell Quest'estate un cliente mi segnala uno strano errore 403 restituito da uno dei propri siti. Controllo e si scopre che si tratta di una remote shell, quindi sito compromesso. Inizia la fase di messa in sicurezza dell'hosting, e secondo la legge di Murphy «Se qualcosa può andare storto, lo farà», dalla verifica preliminare emerge che il CMS non era aggiornato, i plugin non erano aggiornati e i temi installati non erano aggiornati.. (...)

Ulteriori analisi indicano che per il plugin utilizzato per la gestione della newsletter è stato da poco rilasciato un upgrade urgente per un bug di sicurezza sfruttabile da remoto,

Sembra avvicinarsi la soluzione...  Invece le cose si complicano. L'analisi dei DataBase di backup, così come le cache di Google, riportano al posto dei contenuti del sito del cliente un sito di e-commerce apparentemente in Giapponese. Quindi la compromissione è di lunga data, mascherata agli IP dei clienti/Italiani a cui veniva presentato il sito originale.

Pubblicata una pagina statica di comunicazione per gli utenti del sito, per avere tempo di studiare la situazione. Nel frattempo un paio di rimbalzi fra me e la WebAgency che stava rifacendo il sito, per capire chi si sarebbe messo in casa propria un sito completamente compromesso per le procedure di ripristiono?

Alla fine ho vinto io :-() Ok. Inizia la procedura:

  • creazione di un clone del sito compromesso in locale su macchina virtuale
  • sanitizzazione del DB e dei file
  • ripristino degli utenti, plugin/temi grafici
  • ripristino dei contenuti
  • staticizzazione di sicurezza con HTTrak
  • verifica dei contenuti da parte della redazione
  • ripristino online del sito

We learned the lesson da questo caso. Il cliente che non è possibile lasciare un CMS senza aggiornamenti per periodi così lunghi. Io che non posso lasciare che gli utenti che desiderano gestire in autonomia il loro hosting lo facciano se non sono in grado di garantire una persona dedicata alla manutenzione dei software di loro pertinenza... e a spegnere il cellulare quando sono in vacanza :-)