• User

    Fine del supporto per Windows 2008 server e rd2

    Sera a tutti, ho letto che da metà gennaio 2020 finirà il supporto per windows server 2008. Il che vuol dire che la Microsoft finirà di fornire gli aggiornamenti sulla sicurezza.

    Si dà il caso che ovviamente io abbia un Windows server 2008 rd2 che fa da webserver, con diversi siti WordPress e indirizzi email attivi.

    Che succede in questi casi? Soprattutto a livello pratico. Il server viene bucato una settimana dopo e mi ritrovo gli hacker che si collegano in RD ogni 5 minuti e fanno quello che vogliono?

    Ci sarà un modo di installare gli aggiornamenti sulla sicurezza manualmente?

    Qualcuno ha esperienze a riguardo? (Es. con Windows 2000 server o 2003 server)

    Essendoci sopra un plesk Onyx sempre aggiornato che gira, cosa succederà anche a quello? Se il nuovo plesk non sarà supportato da Windows server 2008 potrò continuare a tenere l'onyx? Gli aggiornamenti sulla sicurezza del plesk vengono continuamente sviluppati?

    Un ringraziamento a chiunque volesse rispondere.


  • Moderatore

    Ciao significa che devi aggiornare Windows Server su quella macchina.

    Alla tua domanda "Il server viene bucato una settimana dopo?" è difficile rispondere. Un buon Firewall Hardware potrebbe colmare varie lacune e nuove vulnerabilità trovate ma resta il fatto che è come andare in auto senza freni e usare solo il freno a motore...

    Contatta l'hosting e chiedi loro come hanno pensato di muoversi.


  • User

    Grazie mille della risposta. Più che altro mi chiedo se conti qualcosa il fatto che dal server vengono erogati i "soliti" e "noiosi" servizi web (http, SMTP, imap, POP3). Quindi niente di particolare.

    Sento infatti di vecchissimi server Windows 2000 server che erogano ancora gli stessi servizi web .saranno tutti inevitabilmente bucati? Idem di pannelli plesk che vengono tenuti da anni non aggiornati (mentre io lo aggiorno ogni settimana), e vanno avanti senza problemi (o almeno credo).

    Così come versioni di WordPress obsolete che girano regolarmente e vengono tenute non aggiornate da anni.

    Sono verosimili sti discorsi o è impossibile/mi hanno trollato?

    Ho contattato l'hosting (qualche settimana fa), e mi hanno risposto che ancora non hanno una risposta a riguardo. O meglio non al reparto tecnico non hanno ricevuto istruzioni a riguardo.


  • Moderatore

    Ciao
    per avere i dati che chiedi servirebbe avere migliaia di siti da analizzare e da li si fa una stima. Quello che posso dirti è che trovo sempre più siti hackerati e le cause è sempre la stessa, sono siti abbandonati, non aggiornati ecc. ecc.

    Purtroppo è difficile notare se sono o non sono hackerati in quanto l'obiettivo non è devastare il sito ma usarlo. Vengono quindi usati come parassiti per fare link building, iniettare shop di viagra ecc. ecc.


  • User

    Chiaro! Grazie mille per le info 🙂


  • User

    Vorrei aggiungere (avendo un attimo approfondito il discorso) che mi sembra molto strano che le società di hosting che sto guardando, tutt'ora forniscano come unico server web vps (con credo un plesk già installato) solo con Windows 2008 server. Idem altre società di hosting. E stiamo parlando di società grosse e importanti.... 🤔🤔🤔 Poi si può scegliere anche Windows 2012 e 2016 server, ma senza plesk preinstallato. Altre offrono ancora e solo vps con Windows 2008 server. Boooo


  • User Attivo

    @erremetal

    quello che hai riscontrato si spiega facilmente. L'hosting Windows è decisamente in declino rispetto al passato, al punto da costituire una percentuale ormai ininfluente nel fatturato delle aziende del settore e, in quanto tale, viene da molti ormai trascurato.

    La causa è il sopravvento dei vari CMS basati su PHP/MySQL, soprattutto Wordpress, che ormai costituiscono la quasi totalità del mercato e che su linux girano molto meglio e più velocemente che su Windows. Siamo arrivati al paradosso per cui persino .NET core e Microsoft SQL server girano meglio su Linux che su Windows ormai...


  • User

    Ah mannaggia che sfiga.... Io mi trovo così bene con Windows... Anche per far girare WordPress lo trovo buono.... I siti si aprono bene e veloci. Bo. Inoltre Linux da quel che so è ben più difficile da gestire e soprattutto tenere aggiornato.

    Comunque spero che tenendo i siti WordPress aggiornati non me lo buchino... Magari riesco ad andare avanti con Windows 2008 altri 10 anni 😆


  • User Attivo

    Negli ultimi anni anche le distribuzioni Linux hanno fatto passi avanti per quanto riguarda la semplicità d'uso.
    Per esempio l'ultima Red Hat 8 (o la gratuita Oracle Linux) ha il pannello web di gestione Cockpit che semplifica molto le cose.
    Fra poco arriverà anche Centos 8, che avrà una durata di parecchi anni.

    Se vuoi spendere poco, prendi un server online con Linux e un sistemista Linux freelance che ti fa l'installazione e la migrazione inziale.
    Poi ogni tanto lo chiami per fare qualche verifica.


  • User

    Ok grazie. Credo creerò un vps con centos. Anche se ho paura di avere qualche sito ancora in ASP che non sarà compatibile (?!?!). Il fatto è che vorrei tirare avanti il più possibile, e mi chiedo quanti mesi potrò andare avanti con questo prima che lo buchino (e anche in quel caso, se con "bucare" si intende sempre iniettare qualche link nei siti WordPress o spammare email, o addirittura potersi collegare in rd e prendere controllo della macchina/buttarla giù/ecc e quindi cose ben più gravi).. Trasferire più di 30 siti con relativi indirizzi email di dominio sarà infatti un incubo....e richiederà circa un mese o più ....

    Da tenere conto poi che su tutti i siti WordPress ho installato wordfence (che dovrebbe essere un valido aiuto).

    P.s. ha detto un mio ex collaboratore che lui ha un vps con centos e che dal pannello plesk installa anche gli aggiornamenti del sistema operativo. Che non usa e non ha usato mai la riga di comando finora. È vera questa cosa?!


  • User

    @Shazan said:

    @erremetal

    quello che hai riscontrato si spiega facilmente. L'hosting Windows è decisamente in declino rispetto al passato, al punto da costituire una percentuale ormai ininfluente nel fatturato delle aziende del settore e, in quanto tale, viene da molti ormai trascurato.

    La causa è il sopravvento dei vari CMS basati su PHP/MySQL, soprattutto Wordpress, che ormai costituiscono la quasi totalità del mercato e che su linux girano molto meglio e più velocemente che su Windows. Siamo arrivati al paradosso per cui persino .NET core e Microsoft SQL server girano meglio su Linux che su Windows ormai...

    Ma scusa i clienti che comprano adesso il vps con Windows 2008 sever visto che gliene viene data la possibilità? Magari per ignoranza/mancata informazione? Se la prendono nel c....? XD


  • User Attivo

    Comperare una vps Windows 2008 (o anche 2008 R2) esposta direttamente su Internet oggi, non è molto sensato perchè a gennaio questa versioni di Windows vanno fuori supporto e non verranno più rilasciate patch di sicurezza quindi è facile che nell'arco di 2-3 mesi possano essere compromesse da malware.
    Ovviamente ognuno è libero di acquistare ciò che vuole, visto non ci sono divieti da parte di Microsoft a nuovi server con Windows 2008.

    Per ASP.NET c'è il modulo di Apache mod_mono che può essere utile per i vecchi siti.


  • User Attivo

    @erremetal said:

    Ma scusa i clienti che comprano adesso il vps con Windows 2008 sever visto che gliene viene data la possibilità? Magari per ignoranza/mancata informazione? Se la prendono nel c....? XD

    Io non prenderei mai Windows, indipendentemente dalla versione e dal fornitore...


  • User

    @valent said:

    Comperare una vps Windows 2008 (o anche 2008 R2) esposta direttamente su Internet oggi, non è molto sensato perchè a gennaio questa versioni di Windows vanno fuori supporto e non verranno più rilasciate patch di sicurezza quindi è facile che nell'arco di 2-3 mesi possano essere compromesse da malware.
    Ovviamente ognuno è libero di acquistare ciò che vuole, visto non ci sono divieti da parte di Microsoft a nuovi server con Windows 2008.

    Per ASP.NET c'è il modulo di Apache mod_mono che può essere utile per i vecchi siti.

    Chiaro. Mi chiedo però come facciano ad entrare i malware, considerando che sul server non viene avviata alcuna applicazione (a parte ovviamente plesk e l'antivirus di Windows) e non viene mai scaricato niente (tantomeno da torrent emule o simili), non vengono aperti né siti internet né aperte email con allegati potenzialmente infetti. Il problema malware non dovrebbe essere praticamente solo lato client?


  • User

    @Shazan said:

    Io non prenderei mai Windows, indipendentemente dalla versione e dal fornitore...

    Degustibus....ci sta 🙂


  • User Attivo

    @erremetal said:

    sul server non viene avviata alcuna applicazione (a parte ovviamente plesk e l'antivirus di Windows)

    Non è così. Se c'è Plesk significa che sul server sono esposti su Internet almeno una decina di servizi, ossia IIS, FTP, posta, possibilmente un desktop remoto, etc. tutti potenzialmente soggetti a vulnerabilità di vario tipo, iniezione di codice malevolo, scalate di privilegi ed esecuzione arbitraria di comandi di sistema. Se il substrato, ossia il sistema operativo, è messo male, a prendere possesso di una macchina non ci impiegano nulla.

    @erremetal said:

    Degustibus....ci sta 🙂

    Può essere un fatto di preferenze in ambito desktop ma in ambito server oggettivamente non c'è paragone in termini di prestazioni, sicurezza e semplicità di amministrazione fra linux e Windows. Posso invece capire che si è costretti ad usarlo, perché si è altrettanto costretti ad usare tecnologie che non girano su altri sistemi operativi, e allora pazienza.


  • User

    @Shazan said:

    Non è così. Se c'è Plesk significa che sul server sono esposti su Internet almeno una decina di servizi, ossia IIS, FTP, posta, possibilmente un desktop remoto, etc. tutti potenzialmente soggetti a vulnerabilità di vario tipo, iniezione di codice malevolo, scalate di privilegi ed esecuzione arbitraria di comandi di sistema. Se il substrato, ossia il sistema operativo, è messo male, a prendere possesso di una macchina non ci impiegano nulla.

    Può essere un fatto di preferenze in ambito desktop ma in ambito server oggettivamente non c'è paragone in termini di prestazioni, sicurezza e semplicità di amministrazione fra linux e Windows. Posso invece capire che si è costretti ad usarlo, perché si è altrettanto costretti ad usare tecnologie che non girano su altri sistemi operativi, e allora pazienza.

    Chiaro....che rogna.... al primo segno di intrusione, o magari anche prima, passerò tutto su un vps centos. Anche perché forse al primo segno di intrusione sarà troppo tardi. Magari mi prendono controllo del server e mi cancellano tutto. (È possibile vero?).

    Quello che mi chiedo è come sia possibile che non succeda regolamente. Vedo siti bucati da Anni, con un WordPress obsoleto (ad es versione 4 o inferiore ), con plugin mai aggiornati, con sistema operativo mai aggiornato, che l'unica cosa che hanno è un link al viagra in home Page. Per il resto continuano ad andare imperterriti.

    In parole povere: server gestiti da incompetenti o che se ne sbattono alla grande (perché magari di lavoro fanno altro e non hanno tempo)


  • User

    @Shazan said:

    Non è così. Se c'è Plesk significa che sul server sono esposti su Internet almeno una decina di servizi, ossia IIS, FTP, posta, possibilmente un desktop remoto, etc. tutti potenzialmente soggetti a vulnerabilità di vario tipo, iniezione di codice malevolo, scalate di privilegi ed esecuzione arbitraria di comandi di sistema. Se il substrato, ossia il sistema operativo, è messo male, a prendere possesso di una macchina non ci impiegano nulla.

    Può essere un fatto di preferenze in ambito desktop ma in ambito server oggettivamente non c'è paragone in termini di prestazioni, sicurezza e semplicità di amministrazione fra linux e Windows. Posso invece capire che si è costretti ad usarlo, perché si è altrettanto costretti ad usare tecnologie che non girano su altri sistemi operativi, e allora pazienza.

    Tu hai esperienze di server Windows o anche Linux, lasciati senza aggiornamenti, in quanto tempo sono stati bucati e cosa ci è stato fatto?


  • User Attivo

    Dipende dal problema.
    Per esempio se in Linux crei un utente tipo tomcat, con la possibilità di logon da remoto, e con password da dizionario è possibile che in 3-4 giorni ti trovi con il server con malware installato (bottnet, dos, spam server...
    Ho visto anche lo sfruttamento di vecchie versioni di jboss dopo poche ore che sono online anche se rimuovi a manina il software malevole, provano a ricaricarlo (se non aggiorni).

    Potremmo dire che va a fortuna.


  • User

    Capito. Nel mio caso non c'è niente di obsoleto. Solo siti web statici HTML o PHP, e siti wordpress tenuti maniacalmente aggiornati all'ultima versione (così come i plugin), che girano con PHP 7.3.9 (solo in un paio di casi php 5.6, per necessità purtroppo). Finora non è stato bucato mai niente. Hanno bucato un paio di volte l'email di un cliente sparando spam a raffica ma solo perché il cliente si è infettato con un virus "ciucciapassword". Pulito il computer del cliente cambiata la pw dell'email tutto ok.

    Quello che mi chiedo, un sistema operativo come win 2008 sever, che riceve aggiornamenti sulla sicurezza da ormai 10 anni... Non dovrebbe essere patchato ovunque e stabile come una roccia?! Possibile che nel giro di qualche mese trovano una falla ad esempio in un desktop remoto che ormai è patchato e stra patchato da anni?!