THE NITHGMARE: L'incubo del webmaster si è avverato, ora cosa potrei fare? Come agire

[MuzakStudio]

Allora ragazzi vi sto per raccontare la materializzazione dell’incubo di ogni webmaster.
Ho una VPS che in parte gestivo io (creazione di hosting per i domini) e in larga parte facevo gestire a dei sistemisti.
Ossia backup, salute della vps, ricostruzione, riparazione dei database. Il Backup era sulla stessa VPS.
L’altro giorno mi arriva un messaggio di alcuni broken link da un sito fuori dalla vps controllo e nessuno dei 10/15 siti sulla vps non è raggiungibile. Provo ad entrate nel Plesk (avevo caricato su Parallel) ma non è raggiungibile. Negli ultimi mesi NON AVEVAMO FATTO NESSUNA OPERAZIONE, NESSUN CAMBIAMENTO SULLA VPS, se le soglie di BK venivano superate o qualcosa del genere venivo avvisato per tempo.
Chiamo il tecnico (sistemista) e mi dice che la VPS è vuota, sento quelli di OVH (quelli che mi vendono la vps) e mi dicono che loro del contenuto non sanno niente e di guardare i log. Sento il tecnico e mi dice che il problema è che non c’è nulla totale, deserto assoluto= NEANCHE I LOG !!!
Ok panico a mille, per fortuna i siti li hò mentre un forum ho un bk del 2015 !!! Cmq ora mille domande attraversano la mia testa e vi chiedo di darmi un supporto morale da una parte (diciamo che stanotte ho dormito veramente male…) e un supporto lato tecnico dall’altro.
Quelli di OVH dicono che magari è stato il sistemista a fare qualche cacchiata e quindi per non lasciare tracce ha cancellato anche i LOG. Oppure dicono che magari uno script dei miei siti era bucato e quindi un hacker ha cancellato tutto.
Io aimeh non ci capisco niente o troppo poco ma devo agire, non è possibile che succeda una cosa del genere senza che sia stata registrata una attività e che questa sia accessibile quindi el domande al quale vi chiedo di rispondermi per venirmi in aiuto sono:
- Se un hacker buca un sito, quindi sfonda già una barriera riuscendo ad accedere a tutta la VPS e cancellarla non avrebbe sfondato anche un altro muro entrando nel server vero e proprio cancellandolo? Oppure un Hacker non avrebbe lasciato il segno o una richiesta di soldi?!?

- Quindi se è stato un hacker voi dite che OVH non ha nessuna responsabilità sulla sicurezza ?!?

- OVH mi dice che ha dei BK vecchi solo di 24 ore e quindi se 24 ore prima la vps era vuota quindi anche il BK è vuoto. Secondo voi le rindondanze dei sistemi ha senso che abbiano dei BK di solo 24 ore? Non è un disservizio ? (io non pagavo a loro un servizio di BK ma però gli ho detto. Guardate che se non trovo una copia dopo anni i miei €350-500 euro annui non li prendete più… So che avete dei BK perché se vi brucia il palazzo voi dovete avere dei mirror altrove…) Insomma dite che a livello contrattuale avere una copia di 24 ore è attaccabile ?!?

- Oppure OVH chiede a me il LOG della VPS che non esistono perché spariti. Ma loro non dovrebbero avere i LOG del SERVER !?!? Posso chiederglieli? Con una azione legale sono obbligati ad averli consegnarli ?!?

- Domanda tecnica. Quando qualcuno si collega alla mia VPS backoffice vengo avvisato se un hacker entra nel backpoffice dote che la segnalazione non arriva ?!?

- E ancora se OVH fa una cazzata qualsiasi e non vuole farsi TANARE non basta fare esattamente così? Ossia cancellare tutto completamente e dire che loro non sanno neanche cosa c’è dentro?

- Ma andiamo sul sistemista cosa mai avrebbe potuto fare per cancellare tutto ?!? mi sembra tanto assurdo… Capisco cancellare un sito o un DB ma anche l’installazione del parallel e del plesk ?!?

Insomma vi chiedo di rispondere a tutte le domande anche con un semplice si o no. E/o darmi una mano su come posso agire. Ci sono dei cyber avvocati? O degli investigatori privati cyberg? Voi cosa fareste e come lo fareste? Per ora non è colpa di nessuno e non si sa cosa è successo. Si esattamente così:
- Non è colpa di nessuno (o di tutti)
- E non si sa cosa è successo…

[Kaya]

Capisco come ti senti e quindi sei agitato e "sragioni". (Perdomani il termine)
Cerco di farti un riepilogo e magari rispondere tra le righe alle tue domande:
Prima di tutto parli di log, ma che log? Non hai detto che sistema operativo hai. Se sei sotto linux, verifica /var/log e la bash history, se hai windows, recupera gli eventi dal registro.
Verifica magari anche le date delle cartelle: se c'è stato un ranzamento totale quantomeno dovresti avere delle date coerenti.
Se hai windows, hai lasciato la RDP aperta e l'utente administrator attivo? analogamento sotto linux magari senza un fail2ban?
Hai anche imparato (purtroppo) che i backup NON sono backup, se stanno sullo stesso pc.
Con OVH credo che tu possa fare poco: prima di tutto chiedi se possono recuperarti quel backup di 24 ore prima, magari sei fortunato.
Inoltre ci sono due opzioni: se accedi al sistema, vuol dire che le password sono valide, quindi SE effettivamente qualcuno ha fatto accesso, aveva le credenziali, e dubito OVH le conosca.
L'alternativa è che per errore OVH abbia ripristinato la tua macchina a una versione vecchia, ma dovrebbe avere avuto il "culo" di beccare il momento esatto successivo a quando è stata creata, e ovviamente dopo che tu hai cambiato le password e prima di iniziare a installare applicativi (hai cambiato la password di default vero?)

L'accesso all'account OVH è monitorato, quindi ti suggerirei di vedere si le ci sono accessi anomali.

Fai un po queste verifiche e poi passiamo allo step successivo

[Jones D. Daemon]

Scusami ma sulla tua VPS non è rimasto proprio niente niente, nemmeno l'OS? Che OS avevi montato sopra?

- Dipende da che tipo di "buco" ha trovato. Se ha bucato ad esempio l'FTP di un sito ha avuto accesso allo spazio web di quello specifico sito, e a meno di bug catastrofici non può aver avuto accesso ad altre directory (se tutto è configurato come si deve). Se invece ha avuto accesso direttamente all'os della VPS è un'altro paio di maniche.

- Se un hacker buca un sito non credo, ad esempio su un hacker sfrutta una falla di Wordpress per bucare un sito hostato su una VPS OVH li non hanno alcuna responsabilità.

- Possibile. Loro si tengono un backup di 24h, oltretutto non hai acquistato altri tipi di servizio (il backup sulla stessa VPS non lo conto come credibile, basterebbe un pc che ogni X si scarica in ftp i vari siti). I backup di solito il livello base è: faccio oggi un backup, domani elimino il vecchio e metto il nuovo, altrimenti lo spazio necessario è molto, e lo spazio lo devi pagare.

- I log della VPS non possono essere spariti da soli, devono essere stati cancellati. Loro possono avere i log del server host che ospita la tua VPS, e devono avere anche tutti i log di accesso (anche a livello di infrastruttura di rete) sia a questo server che alla tua VPS. I log vanno tenuti per X anni (non ricordo bene quanti) e devono esserci.

- Non ho capito la domanda: se viene interpretato come un accesso autorizzato, a meno che non avere attive le segnalazioni per ogni accesso al pannello di controllo della vps, no non ricevi nulla

- OVH deve avere tutti i log degli accessi e delle azioni compiute sui server per legge. Se avessero ricreato in fretta e furia la tua VPS vuota sicuramente ci sarebbero delle incongruenza.

- Svuotare i ruoli della VPS. A questo punti è come avere un pc nuovo con nemmeno installato l'os.

[MuzakStudio]

Ok qualcuno PAGATO potrebbe assistermi? io sono uno psicologo informatizzato ma pur sempre psicologo.

Ok so entrare nel plesk creare spazi poer i domini, creare le email dirottare i dns ma STOOOOOP appena mi fnano una supoer caxxola quelli di OVH io rimango a bocca aperta.

Appunto pagherei perchè qualcuno gestisse la comunicazione con ovh per questo AFFARE quindi si potrebbe tradurre in invio e risposte email o chiamata al centro assistsneza. per metterli un pò più alle strette. E cmq anche solo per dirmi cosa fare... Immaginatevi se no uno psyco che va dalla polizia e dice "mi è sparito il sito, io non ho fatto niente e sembra che nessuno abbia fatto niente ma il sito non c'è più..."....

fatemi sapere e veramente grazie...

p.s.: io non sono sicuro neanche di che OS c'era su.... Forse linux.....forse...

[mmiat]

backup / integrità dei dati è compito tuo, OVH (come qualunque altro fonitore) se ne lava / laverà le mani, a meno di contratti specifici

il backup COSTA caro, sopratutto se si vuole un po' di retention (cosa che fanno / spiegano in pochi)

[Jones D. Daemon]

La prima domanda da fare a OVH è:

Signori, io vi pago per una VPS. Siccome sulla suddetta VPS ho ospitati i miei servizi e sui quali si sono verificati problemi molto gravi, vi prego di mandarmi i log riguardanti tutti gli accessi effettuati sulla stessa. Attenzione: non si tratta dei log delle azioni effettuate sulla vps, ma dei log di accesso alla mia VPS al livello di rete e di server ospitante.

Questi log devono averli e devono darteli visto che si è verificato un evento grave.

[MuzakStudio]

Mi sembra una ottimo testo da mandargli.

[MuzakStudio]

Quote:

Originariamente inviato da Jones D. Daemon

La prima domanda da fare a OVH è:

Signori, io vi pago per una VPS. Siccome sulla suddetta VPS ho ospitati i miei servizi e sui quali si sono verificati problemi molto gravi, vi prego di mandarmi i log riguardanti tutti gli accessi effettuati sulla stessa. Attenzione: non si tratta dei log delle azioni effettuate sulla vps, ma dei log di accesso alla mia VPS al livello di rete e di server ospitante.

Questi log devono averli e devono darteli visto che si è verificato un evento grave.

Ecco cosa mi risponde OVH e questo mi sembra strano veramente: "Gentile Cliente,

Ho capito benissimo a quali log lei farebbe riferimento, ma purtroppo le confermo quanto già indicato.

OVH non mantiene i log di accesso alle infrastrutture fisiche sulle quali si trovano i VPS degli utenti,
gli unici log che avrebbe a disposizione, sarebbero quelli interni al VPS stesso, che però non esistono più.

Confermo quindi nuovamente che non disponiamo di alcun log da poterle fornire in questa situazione,
perché non ne esiste alcuno, indipendentemente dalla gravità della situazione.

Se desidera aggiungere delle informazioni a questo ticket, o se necessita di ulteriore assistenza risponda pure a questo messaggio e provvederemo a fornirle il supporto necessario.

Cordiali Saluti
"

Quindi se uno fa un uso criminoso della mia VPS "pedofilia, pornografia illecita vendita organi" loro NON hanno registrato NULLA, per assurdo non possono NE dire che non sono loro stessi a farne uso, ne tu ne nessuno...

E' così libero il mondo del web che uno può ospitare qualcosa senza neanche registrare chi accede e da dove ?!?

[Jones D. Daemon]

Quote:

Originariamente inviato da MuzakStudio

Ecco cosa mi risponde OVH e questo mi sembra strano veramente: "Gentile Cliente,

Ho capito benissimo a quali log lei farebbe riferimento, ma purtroppo le confermo quanto già indicato.

OVH non mantiene i log di accesso alle infrastrutture fisiche sulle quali si trovano i VPS degli utenti,
gli unici log che avrebbe a disposizione, sarebbero quelli interni al VPS stesso, che però non esistono più.

Confermo quindi nuovamente che non disponiamo di alcun log da poterle fornire in questa situazione,
perché non ne esiste alcuno, indipendentemente dalla gravità della situazione.

Se desidera aggiungere delle informazioni a questo ticket, o se necessita di ulteriore assistenza risponda pure a questo messaggio e provvederemo a fornirle il supporto necessario.

Cordiali Saluti
"

Quindi se uno fa un uso criminoso della mia VPS "pedofilia, pornografia illecita vendita organi" loro NON hanno registrato NULLA, per assurdo non possono NE dire che non sono loro stessi a farne uso, ne tu ne nessuno...

E' così libero il mondo del web che uno può ospitare qualcosa senza neanche registrare chi accede e da dove ?!?

https://en.wikipedia.org/wiki/Teleco...etention#Italy

Paragrafo 2.3

Sono obbligati ad avere i log per legge, credo ANCHE quelli della tua vps che sono spariti, backuppati da qualche parte. Se non hanno nessun log, sono fuorilegge. E a questo punto io minaccerei azioni legali. Se (come credo che sia) c'è stata attività illecita su un loro server e loro non sono in grado di fornire i dati di accesso che dovrebbero avere per legge sono in torto anche loro.

[MuzakStudio]

Appunto... ora ci vado un pò più pesante...

[MuzakStudio]

Rispondono così:
Gentile Cliente,

Perfetto, le forze dell'ordine sanno già come collaborare con noi
per questi casi, eventualmente ci possono contattare telefonicamente
per tutte le informazioni di cui avessero bisogno.

Cordiali Saluti

Cioè sono proprio sereni... Mmm direi che nonostante i nostri desiderata il mondo non va come vorremmo ossia li leggo troppo sereni perchè abbiano qualcosa da "nascondere" ossia sono sereni del fatto che possono non tenere niente o frse fanno alsuper caxxola alla polizia postale e saranno abitati a sentirsi dire "ahhh si capisco no scusi il disturbo..."

[bio.hazard]

Guardate che l'obbligo di data retention in Italia è in vigore solo per i soggetti che sono fornitori di connettività (e comunque solo per 12 mesi dalla creazione/formazione del dato).


Se OVH non fornisce connettività, ma solo servizi, non ha obbligo di conservare alcunché.

Forse è per questo che sono tranquilli e sereni, perchè sanno di non essere obbligati alla conservazione.

[MuzakStudio]

Vedi che c'è confusione ?!?
Quindi immagina che un pedofilo mi ruba la VPS e poi cancella e sparisce. Chi dovrebbe mostrare le carte?!?

[bio.hazard]

Quote:

Originariamente inviato da MuzakStudio

Vedi che c'è confusione ?!?

Quale confusione?
Poniti una semplice domanda, per cortesia: OVH è fornitore di connettività?
Se la risposta è si, ha obbligo di conservazione.
Se la risposta è no, non ce l'ha, a meno che non lo imponga una specifica clausola del contratto sottoscritto tra le parti (che tanto nessuno perde tempo a leggere, vero?).
La confusione si crea quando le persone danno la loro personale interpretazione di norme che invece non conoscono minimamente.

Quote:

Originariamente inviato da MuzakStudio

Quindi immagina che un pedofilo mi ruba la VPS e poi cancella e sparisce. Chi dovrebbe mostrare le carte?!?

Chi ha titolo a farlo, perchè per come l'hai messa tu, la frase non significa assolutamente nulla, su un piano strettamente tecnico-giuridico.
La cosa, tra l'altro, non la stabilisci tu o la "ggente" su internet, ma è disciplinata dalle norme vigenti.
Pertanto, prima di fare richieste strampalate, che poi ti portano solo ad essere preso per i fondelli dal sedicente servizio clienti, il mio modesto suggerimento e quello di dare magari una lettura al contratto che ti lega a OVH, oppure di farlo leggere a qualcuno che abbia una cultura giuridica idonea a comprenderlo, che sicuramente non può essere un'anonimo dodicenne trovato su un forum.

[MuzakStudio]

@bio.hazard non essere troppo severo con me. Il termine confusione non era usato nei tuoi confronti ma si basava sul fatto che prima della tua risposta, come puoi leggere bene anche tu, altri tecnici mi dicevano che assolutamente loro dovevano avere i log postando anche articoli di legge trovati su wiki.

Io sono uno psicologo capisci bene che non sono esperto in materia e quindi mi sto muovendo timidamente per cercare di capire diritti e responsabilità.
Pensa te che io che sono psicologo:
- leggo cose controverse fra tecnici
- su tre sistemisti che ho avuto (e che hanno partita iva quindi Non proprio improvvisati) nessuno mi aveva mia detto "fai BK su altro server se no non è un BK". Anzi ora che mi fai venire in mente ho anche un sito wordpress su un altro server e la quinta "tecnica" che gestisce il server mi fa il BK sullo stesso server.

"qualcuno che abbia una cultura giuridica idonea a comprenderlo, che sicuramente non può essere un'anonimo dodicenne trovato su un forum."
Chi è questo qualcuno? esistono avvocati del settore che non ne sappiano come me ma che siano formati? probabilmente tu conosci queste figure mi linki qualche contatto ?!?

Grazie dell'aiuto

Quindi dici che la "colpa" è tutta mia come psicologo perchè non capisco tutta la legislazione le good menner del settore o che aimeh trovo professionisti con la p minuscola ?!? E ancora come faccio come psicologo a valutare chi è un buon sistemista? Come faccio a leggere bene le referenze ?!?

Spero tu capisca la mia posizione...

[Tasslehoff]

Posso immaginare come ti senta e hai la mia completa solidarietà, però in tutti questi scambi riguardanti i log a me pare che sia stata fatta un po' di confusione.

Per come la vedo io la responsabilità della conservazione dei log di accesso ai servizi è di chi amministra il VPS, non di chi fornisce l'hardware e le risorse su cui gira il VPS (in questo caso OVH).
In questo caso da quanto ho capito OVH non ha alcuna voce in capitolo in quanto l'amministrazione del VPS è tua (o delle persone alle quali hai affidato la gestione del VPS) e di nessun altro.
E' un po' come se portassi un tuo server in un datacenter affittando spazio in un armadio rack e lo amministrassi in autonomia, poi una volta perso tutto cercassi dei log sui dispositivi di rete su cui passa il traffico di questa macchina, capisci bene che non ha molto senso.

L'unico caso in cui imho potresti obbiettare qualcosa a OVH è se avessi perso dei dati a causa di un ripristino del VPS ad uno snapshot fatto in passato senza alcuna azione intrapresa da te o dai tuoi collaboratori; non sarebbe semplice dimostrarlo (dovresti trovare degli strani "salti temporali" nei log del sistema operativo o dei servizi) ma si potrebbe provare, e a prescindere da ciò non è detto che OVH possa essere imputabile di alcunchè (dipende dalle clausole di fornitura del servizio).

Non essendoci log e non avendo accesso alle macchine è pressochè impossibile capire cosa possa essere successo, ma in generale in questi casi il primo step è di fare una immagine completa del sistema prima ancora di intraprendere qualsiasi azione, in modo da avere una fotografia intonsa e precisa del momento in cui avete scoperto il danno (utile anche in caso di controversie o verifiche forensi in caso di possibile attacco), ma mi pare di aver capito che questo non sia stato fatto.

Si possono fare millemila ipotesi su cosa può essere successo, errore umano, atto voluto di uno degli operatori, attacco sfruttando qualche vulnerabilità (parli di forum e wordpress, quindi tendenzialmente saranno cms o prodotti basati su php molto noti e facilmente rilevabili, quindi facilmente vittime di attacchi) o accesso remoto sfruttando credenziali deboli.
In ogni caso l'unica speranza è nei backup e già il fatto che fossero presenti solo in locale credo non giochi molto a favore della professionalità delle persone a cui hai dato in gestione questi sistemi.

[cattivik66]

Al di là delle varie problematiche, bisogna dire che il singolo o piccola azienda che si rivolge ad un professionista (sperando che poi lo sia davvero e abbia le competenze!) difficilmente propone soluzioni 100% complete.
Hanno costi molto più alti (sia come servizi da acquistare, sia come lavoro del professionista) che di solito fanno uscire dai budget prefissati.
In un mondo dominato dall'economia chi di solito lavora è chi presenta il prezzo più basso, ahimè.

Al di là di queste considerazioni, normalmente in caso di vps la gestione dei log e dei backup e a carico di chi sottoscrive il servizio.
Spesso addirittura i backup (cone in questo caso di 24h) sono un servizio non pagato che la società fornisce per risolvere spesso problemi come questo (servizio non pagato in teoria, e non garantito. Insomma, un completo favore).

I log riguardo alle operazioni compiute sulla piattaforma di gestione del servizio sono opzionali, e servono a poco se riguardano i log del webserver.

Inoltre va vista la normativa del paese in cui vengono erogati i servizi, non per forza quella italiana quindi.

Mi spiace ovviamente per quanto accaduto, ahimè la questione della sicurezza di solito si affronta con criterio dopo che si viene scottati.

Nella tua situazione vedo poche/nulle possibilità di scoprire molto di più. Ovviamente dico questo col dubbio ragionevole visto che nessuno qui ha visto niente.

Per quanto ne sappiamo per asshrdo poteva pure essere un ex professionista incazzato (visto che a quanto ne ho capito ne sono stati cambiati diversi) che aveva le credenziali del server e ha fatto questo per una qualche vendetta, per quanto assurdo.

Sent from my Nexus 5 using Tapatalk