• User Newbie

    Attività illecite Tophost - file clandestini (virus), accessi ftp sconosciuti

    Salve a tutti!

    Torno su questo forum dopo parecchi anni; finita la scuola il mio lavoro mi ha portato in giro per il mondo, ma sono rimasto fedele ad alcuni servizi della patria - tra i quali il hosting per i siti dei miei genitori, parenti, ecc.

    Non ho mai avuto problemi con Tophost, finchè qualche giorno fa mi hanno fatto notare i miei che su un sito la pagina principale veniva bloccata dai firewall. C'era un virus.

    Ho provato a controllare accedendo via FTP. Pure a quello non riuscivo ad accedere, ma secondo quanto ho capito, dopo un periodo di inattività la password FTP doveva essere reimpostata (mai successo prima però)... fatto ciò, entro nello spazio del account e trovo dei file mai visti prima, tra cui "index.htm" e "prova.htm".
    (per la pagina principale ho sempre usato "default.php" o "index.php", mai .htm)
    Provo ad aprirli/modificarli e il mio antivirus dice che sono cavalli di troia, che in realtà si chiamano "index.htm.(gzip)" o qualcosa del genere, non ricordo più perchè ho subito eliminato.

    Inoltre ho anche visto che quei file erano stati inseriti giusto tre settimane prima. Io, l'unico con accesso al sito e webmaster, con un computer stra-pulito e immune ai virus, non ho guardato ne modificato il sito per mesi (intendo più di 6-8 mesi).

    Ordqunque - perchè sono qui a raccontarlo, a questa tarda ora?

    Perchè dopo che l'ho raccontato a Tophost mi hanno detto che praticamente "non offrono alcuna assistenza" per questo problema. Ho ritentato varie volte, anche di chiedere chi o cosa potrebbe aver messo quei virus, ma il loro supporto di primo livello aveva sempre la stessa risposta - "siamo pseudotecnici sottopagati e rispondiamo secondo quello che c'è scritto sul nostro manuale; siamo troppo pigri per impegnarci e aiutare davvero il cliente".

    Furia e frustrazione, come potete immaginare :arrabbiato:

    😢

    Ho rimosso i file clandestini, e ora funziona di nuovo. Ma come posso prevenire questo?
    E soprattutto, qualcuno ha una minima idea di cosa possa essere successo?

    Apprezzo ogni gesto di consolazione e supporto.


  • User

    per capire cosa sia successo bisogna fare delle considerazioni, e la prima che mi viene in mente è che applicazione è/era installata su quel sito? (per caso joomla o wordpress?) e soprattutto, considerando che non ci mettevi mano da mesi probabilmente l'applicazione non era aggiornatissima. Se invece non ci sono applicazioni ma pagine html allora il discorso è diverso, bisogna capire la password FTP quanto era complessa e se tophost prevede dei controlli di sicurezza su tentativi ripetuti da software tipo port scanning o altro (e questo sarebbe sacrosanto da parte di tophost). Se io carico sull'hosting che ho acquistato un'applicazione fatta male e piena di bug l'hosting provider non può fare molto. Ma non so se questo è il tuo caso


  • User Newbie

    sondacapire, grazie infinite per la rapida risposta!

    Non uso applicazioni sul sito. L'ho creato in php molto elementare (praticamente è html con contenuto/testo che cambia in base alla lingua selezionata) e al massimo ho inserito qualche script di widget per social network, twitter, ecc.

    La password era complessa (stringa casuale di lettere e numeri), non ho dubbi. Non so che controlli di sicurezza fa Tophost ma cercherò di informarmi.

    Una cosa che mi interessa alquanto a questo punto è se l'attacco è stato causato da un hacker che si voleva divertire con una vittima "a caso", o da qualcuno che ci conosce e vuole seriamente causare danni ai miei genitori.

    Pensavo che l'hosting potesse avere un'indizio circa CHI possa aver causato il danno, magari in qualche log di connessioni al FTP o simili, indirizzo IP, ecc.
    Se esiste, troverei un po' assurdo che l'hosting non può collaborare fornendo quel tipo di informazione...

    @sondacapire said:

    per capire cosa sia successo bisogna fare delle considerazioni, e la prima che mi viene in mente è che applicazione è/era installata su quel sito? (per caso joomla o wordpress?) e soprattutto, considerando che non ci mettevi mano da mesi probabilmente l'applicazione non era aggiornatissima. Se invece non ci sono applicazioni ma pagine html allora il discorso è diverso, bisogna capire la password FTP quanto era complessa e se tophost prevede dei controlli di sicurezza su tentativi ripetuti da software tipo port scanning o altro (e questo sarebbe sacrosanto da parte di tophost). Se io carico sull'hosting che ho acquistato un'applicazione fatta male e piena di bug l'hosting provider non può fare molto. Ma non so se questo è il tuo caso


  • User

    solitamente gli hacker prendono di mira un sito se questo è molto famoso, invece nella maggior parte dei casi utilizzano strumenti automatici che scannerizzano la rete determinando certe situazioni comuni, ad esempio, ci sono applicazioni che scannerizzano la rete alla ricerca di siti che utilizzano wordpress, in quel caso gli hacker, sempre con l'aiuto di strumenti automatici verificano che tutti questi siti abbiano o meno una determinata vulnerabilità, a quel punto scatta il defacing del/dei siti oppure l'iniezione di script malware/phishing per fare operazioni di vario genere: propagazione di virus, malware o semplicemente inviare migliaia di email spam a danno del server che passa per spammer.

    Per verificare che non sia stato un bug sui file del sito bisogna vedere tutto l'ftp: permessi di scrittura ecc..


  • User Attivo

    @L'AntiAteo said:

    sondacapire, grazie infinite per la rapida risposta!
    [...]

    Pensavo che l'hosting potesse avere un'indizio circa CHI possa aver causato il danno, magari in qualche log di connessioni al FTP o simili, indirizzo IP, ecc.
    Se esiste, troverei un po' assurdo che l'hosting non può collaborare fornendo quel tipo di informazione...

    So che è brutto da dire, sicuramente hanno un log di queste cose. Ma per inviartelo sprecherebbero tempo prezioso, a loro non conviene. Tutto qua.
    Ci sono provider (più cari) che possono darti anche informazioni che per contratto non sono dati a fornire, ma questo ha un costo più alto.


  • User

    hanno attaccato anche un mio sito, solo html!