• User

    Vorrei aggiungere (avendo un attimo approfondito il discorso) che mi sembra molto strano che le società di hosting che sto guardando, tutt'ora forniscano come unico server web vps (con credo un plesk già installato) solo con Windows 2008 server. Idem altre società di hosting. E stiamo parlando di società grosse e importanti.... 🤔🤔🤔 Poi si può scegliere anche Windows 2012 e 2016 server, ma senza plesk preinstallato. Altre offrono ancora e solo vps con Windows 2008 server. Boooo


  • User Attivo

    @erremetal

    quello che hai riscontrato si spiega facilmente. L'hosting Windows è decisamente in declino rispetto al passato, al punto da costituire una percentuale ormai ininfluente nel fatturato delle aziende del settore e, in quanto tale, viene da molti ormai trascurato.

    La causa è il sopravvento dei vari CMS basati su PHP/MySQL, soprattutto Wordpress, che ormai costituiscono la quasi totalità del mercato e che su linux girano molto meglio e più velocemente che su Windows. Siamo arrivati al paradosso per cui persino .NET core e Microsoft SQL server girano meglio su Linux che su Windows ormai...


  • User

    Ah mannaggia che sfiga.... Io mi trovo così bene con Windows... Anche per far girare WordPress lo trovo buono.... I siti si aprono bene e veloci. Bo. Inoltre Linux da quel che so è ben più difficile da gestire e soprattutto tenere aggiornato.

    Comunque spero che tenendo i siti WordPress aggiornati non me lo buchino... Magari riesco ad andare avanti con Windows 2008 altri 10 anni 😆


  • User Attivo

    Negli ultimi anni anche le distribuzioni Linux hanno fatto passi avanti per quanto riguarda la semplicità d'uso.
    Per esempio l'ultima Red Hat 8 (o la gratuita Oracle Linux) ha il pannello web di gestione Cockpit che semplifica molto le cose.
    Fra poco arriverà anche Centos 8, che avrà una durata di parecchi anni.

    Se vuoi spendere poco, prendi un server online con Linux e un sistemista Linux freelance che ti fa l'installazione e la migrazione inziale.
    Poi ogni tanto lo chiami per fare qualche verifica.


  • User

    Ok grazie. Credo creerò un vps con centos. Anche se ho paura di avere qualche sito ancora in ASP che non sarà compatibile (?!?!). Il fatto è che vorrei tirare avanti il più possibile, e mi chiedo quanti mesi potrò andare avanti con questo prima che lo buchino (e anche in quel caso, se con "bucare" si intende sempre iniettare qualche link nei siti WordPress o spammare email, o addirittura potersi collegare in rd e prendere controllo della macchina/buttarla giù/ecc e quindi cose ben più gravi).. Trasferire più di 30 siti con relativi indirizzi email di dominio sarà infatti un incubo....e richiederà circa un mese o più ....

    Da tenere conto poi che su tutti i siti WordPress ho installato wordfence (che dovrebbe essere un valido aiuto).

    P.s. ha detto un mio ex collaboratore che lui ha un vps con centos e che dal pannello plesk installa anche gli aggiornamenti del sistema operativo. Che non usa e non ha usato mai la riga di comando finora. È vera questa cosa?!


  • User

    @Shazan said:

    @erremetal

    quello che hai riscontrato si spiega facilmente. L'hosting Windows è decisamente in declino rispetto al passato, al punto da costituire una percentuale ormai ininfluente nel fatturato delle aziende del settore e, in quanto tale, viene da molti ormai trascurato.

    La causa è il sopravvento dei vari CMS basati su PHP/MySQL, soprattutto Wordpress, che ormai costituiscono la quasi totalità del mercato e che su linux girano molto meglio e più velocemente che su Windows. Siamo arrivati al paradosso per cui persino .NET core e Microsoft SQL server girano meglio su Linux che su Windows ormai...

    Ma scusa i clienti che comprano adesso il vps con Windows 2008 sever visto che gliene viene data la possibilità? Magari per ignoranza/mancata informazione? Se la prendono nel c....? XD


  • User Attivo

    Comperare una vps Windows 2008 (o anche 2008 R2) esposta direttamente su Internet oggi, non è molto sensato perchè a gennaio questa versioni di Windows vanno fuori supporto e non verranno più rilasciate patch di sicurezza quindi è facile che nell'arco di 2-3 mesi possano essere compromesse da malware.
    Ovviamente ognuno è libero di acquistare ciò che vuole, visto non ci sono divieti da parte di Microsoft a nuovi server con Windows 2008.

    Per ASP.NET c'è il modulo di Apache mod_mono che può essere utile per i vecchi siti.


  • User Attivo

    @erremetal said:

    Ma scusa i clienti che comprano adesso il vps con Windows 2008 sever visto che gliene viene data la possibilità? Magari per ignoranza/mancata informazione? Se la prendono nel c....? XD

    Io non prenderei mai Windows, indipendentemente dalla versione e dal fornitore...


  • User

    @valent said:

    Comperare una vps Windows 2008 (o anche 2008 R2) esposta direttamente su Internet oggi, non è molto sensato perchè a gennaio questa versioni di Windows vanno fuori supporto e non verranno più rilasciate patch di sicurezza quindi è facile che nell'arco di 2-3 mesi possano essere compromesse da malware.
    Ovviamente ognuno è libero di acquistare ciò che vuole, visto non ci sono divieti da parte di Microsoft a nuovi server con Windows 2008.

    Per ASP.NET c'è il modulo di Apache mod_mono che può essere utile per i vecchi siti.

    Chiaro. Mi chiedo però come facciano ad entrare i malware, considerando che sul server non viene avviata alcuna applicazione (a parte ovviamente plesk e l'antivirus di Windows) e non viene mai scaricato niente (tantomeno da torrent emule o simili), non vengono aperti né siti internet né aperte email con allegati potenzialmente infetti. Il problema malware non dovrebbe essere praticamente solo lato client?


  • User

    @Shazan said:

    Io non prenderei mai Windows, indipendentemente dalla versione e dal fornitore...

    Degustibus....ci sta 🙂


  • User Attivo

    @erremetal said:

    sul server non viene avviata alcuna applicazione (a parte ovviamente plesk e l'antivirus di Windows)

    Non è così. Se c'è Plesk significa che sul server sono esposti su Internet almeno una decina di servizi, ossia IIS, FTP, posta, possibilmente un desktop remoto, etc. tutti potenzialmente soggetti a vulnerabilità di vario tipo, iniezione di codice malevolo, scalate di privilegi ed esecuzione arbitraria di comandi di sistema. Se il substrato, ossia il sistema operativo, è messo male, a prendere possesso di una macchina non ci impiegano nulla.

    @erremetal said:

    Degustibus....ci sta 🙂

    Può essere un fatto di preferenze in ambito desktop ma in ambito server oggettivamente non c'è paragone in termini di prestazioni, sicurezza e semplicità di amministrazione fra linux e Windows. Posso invece capire che si è costretti ad usarlo, perché si è altrettanto costretti ad usare tecnologie che non girano su altri sistemi operativi, e allora pazienza.


  • User

    @Shazan said:

    Non è così. Se c'è Plesk significa che sul server sono esposti su Internet almeno una decina di servizi, ossia IIS, FTP, posta, possibilmente un desktop remoto, etc. tutti potenzialmente soggetti a vulnerabilità di vario tipo, iniezione di codice malevolo, scalate di privilegi ed esecuzione arbitraria di comandi di sistema. Se il substrato, ossia il sistema operativo, è messo male, a prendere possesso di una macchina non ci impiegano nulla.

    Può essere un fatto di preferenze in ambito desktop ma in ambito server oggettivamente non c'è paragone in termini di prestazioni, sicurezza e semplicità di amministrazione fra linux e Windows. Posso invece capire che si è costretti ad usarlo, perché si è altrettanto costretti ad usare tecnologie che non girano su altri sistemi operativi, e allora pazienza.

    Chiaro....che rogna.... al primo segno di intrusione, o magari anche prima, passerò tutto su un vps centos. Anche perché forse al primo segno di intrusione sarà troppo tardi. Magari mi prendono controllo del server e mi cancellano tutto. (È possibile vero?).

    Quello che mi chiedo è come sia possibile che non succeda regolamente. Vedo siti bucati da Anni, con un WordPress obsoleto (ad es versione 4 o inferiore ), con plugin mai aggiornati, con sistema operativo mai aggiornato, che l'unica cosa che hanno è un link al viagra in home Page. Per il resto continuano ad andare imperterriti.

    In parole povere: server gestiti da incompetenti o che se ne sbattono alla grande (perché magari di lavoro fanno altro e non hanno tempo)


  • User

    @Shazan said:

    Non è così. Se c'è Plesk significa che sul server sono esposti su Internet almeno una decina di servizi, ossia IIS, FTP, posta, possibilmente un desktop remoto, etc. tutti potenzialmente soggetti a vulnerabilità di vario tipo, iniezione di codice malevolo, scalate di privilegi ed esecuzione arbitraria di comandi di sistema. Se il substrato, ossia il sistema operativo, è messo male, a prendere possesso di una macchina non ci impiegano nulla.

    Può essere un fatto di preferenze in ambito desktop ma in ambito server oggettivamente non c'è paragone in termini di prestazioni, sicurezza e semplicità di amministrazione fra linux e Windows. Posso invece capire che si è costretti ad usarlo, perché si è altrettanto costretti ad usare tecnologie che non girano su altri sistemi operativi, e allora pazienza.

    Tu hai esperienze di server Windows o anche Linux, lasciati senza aggiornamenti, in quanto tempo sono stati bucati e cosa ci è stato fatto?


  • User Attivo

    Dipende dal problema.
    Per esempio se in Linux crei un utente tipo tomcat, con la possibilità di logon da remoto, e con password da dizionario è possibile che in 3-4 giorni ti trovi con il server con malware installato (bottnet, dos, spam server...
    Ho visto anche lo sfruttamento di vecchie versioni di jboss dopo poche ore che sono online anche se rimuovi a manina il software malevole, provano a ricaricarlo (se non aggiorni).

    Potremmo dire che va a fortuna.


  • User

    Capito. Nel mio caso non c'è niente di obsoleto. Solo siti web statici HTML o PHP, e siti wordpress tenuti maniacalmente aggiornati all'ultima versione (così come i plugin), che girano con PHP 7.3.9 (solo in un paio di casi php 5.6, per necessità purtroppo). Finora non è stato bucato mai niente. Hanno bucato un paio di volte l'email di un cliente sparando spam a raffica ma solo perché il cliente si è infettato con un virus "ciucciapassword". Pulito il computer del cliente cambiata la pw dell'email tutto ok.

    Quello che mi chiedo, un sistema operativo come win 2008 sever, che riceve aggiornamenti sulla sicurezza da ormai 10 anni... Non dovrebbe essere patchato ovunque e stabile come una roccia?! Possibile che nel giro di qualche mese trovano una falla ad esempio in un desktop remoto che ormai è patchato e stra patchato da anni?!


  • User

    Ho scoperto che anche centos 6 a novembre 2020 subirà l'end of support. Quindi lo stesso discorso vale per tutti quelli che hanno un web server basato su centos 6? Dovranno migrare tutto su centos 7-8?

    Praticamente queste migrazioni non si potranno mai evitare. Non esiste il web server che si può tenere a tempo indeterminato....


  • User

    @Shazan said:

    Non è così. Se c'è Plesk significa che sul server sono esposti su Internet almeno una decina di servizi, ossia IIS, FTP, posta, possibilmente un desktop remoto, etc. tutti potenzialmente soggetti a vulnerabilità di vario tipo, iniezione di codice malevolo, scalate di privilegi ed esecuzione arbitraria di comandi di sistema. Se il substrato, ossia il sistema operativo, è messo male, a prendere possesso di una macchina non ci impiegano nulla.

    Può essere un fatto di preferenze in ambito desktop ma in ambito server oggettivamente non c'è paragone in termini di prestazioni, sicurezza e semplicità di amministrazione fra linux e Windows. Posso invece capire che si è costretti ad usarlo, perché si è altrettanto costretti ad usare tecnologie che non girano su altri sistemi operativi, e allora pazienza.

    Ciao Shazan, ho un attimo approfondito il discorso. Per quanto riguarda i server Windows sembra che il servizio più "pericoloso" sia il desktop remoto. Pensavo intanto di disattivarlo e di impostare una regola su firewall per aumentare la sicurezza (a prescindere dall'end of Life del sistema operativo). Posso infatti accedere tramite console di emergenza (che altro non è che un altro desktop remoto, però dall'interno dell'infrastruttura e quindi non più "da fuori" come col rd tradizionale ). Che tu sappia (o che altri sappiano) ci sono altri servizi considerati più "a rischio" che si potrebbe disattivare? Es. So che con Linux si può accedere da Shell (putty?!). Esiste anche su Windows una qualche porta del genere?

    Cosa ne pensi? Potrebbe essere utile o sarebbe cmq tutto inutile?


  • User Attivo

    Sì, il desktop remoto dovrebbe essere sempre dietro un firewall o accessibile solo tramite VPN, tranne particolari esigenze.
    Anche cambiarne la porta sarebbe un buon inizio.


  • User

    @Shazan said:

    Sì, il desktop remoto dovrebbe essere sempre dietro un firewall o accessibile solo tramite VPN, tranne particolari esigenze.
    Anche cambiarne la porta sarebbe un buon inizio.

    Ah io lo disattivo direttamente e tanti saluti. Mi connetto tramite console e sono a posto.

    Che tu sappia c'è qualche altro modo per connettersi ad un server Windows? (Es appunto tipo putty, Shell, riga di comandoecc?). C'è qualche altra porta aperta che potrei chiudere?