Sospensione di un account

[martinsarsini]

Ho contatto oggi l'assistenza tecnica in merito a una stranissima vicenda che mi è capitata. A quanto pare mi è stato bloccato completamente un sito internet ospitato tramite linux server.
Misura cautelativa per prevenire un'eccessivo utilizzo del database, così mi è stato riferito nell'unica risposta che l'assistenza mi ha saputo fino ad ora dare.
Comprendo perfettamente la misura cautelativa, comprendo un po' meno lo strano linguaggio impreciso che hanno utlizzato... ma apparte questo... non sarebbe bastato bloccare solamente il database piuttosto che chiudere un intero sito compreso le caselle email?
O meglio, non sarebbe bastato inviare una semplice email comunicando il problema?

Certamente non sono molto felice di questi comportamenti, ma comunque non voglio fare alcun attacco gratuito. Questo è forum di discussione, no? Discutiamo a riguardo di quale direzione sta andando Serverplan. Sono diversi anni che la utilizzo e uno dei motivi principali per cui la scelsi era la buona assistenza ai clienti.

In questi anni di cose ne sono cambiate tante...
Che dire, sono rimasto deluso e ora non è che mi fido tanto a lasciare altri miei siti presto questo hoster.

[serverplan]

Salve,

Le comunico che il suo sito è stato sospeso dietro richiesta dell'ente RSA a causa di una pagina di pisching presente all'interno del suo account, di seguito i log su come è stato effettuato l'attacco al suo applicativo:

195.229.236.250 - - [27/Nov/2007:14:24:55 +0100] "GET /formaggi/readme.php?act=ls&d=%2Fhome%2Fstudioea%2Fpublic_ht ml%2Fspip%2F&sort=0a HTTP/1.1" 403 -

[martinsarsini]

Conosco perfettamente il rischio che correte anche voi come hoster provider nel caso di atti di phishing sui vostri server.

1. Vedo ora che allow_url_fopen è attivo sui vostri server, presuppongo che il problema sia derivato da una scarsa attenzione nello sviluppo del codice di una o più pagine del sito del mio cliente unita a questa impostazione del server.
2. Perché non mi è stato comunicato prontamente nel momento stesso in cui questa azione è stata presa?
3. Sono sempre dell'idea che sarebbe bastato contattarmi e in assenza di una mia azione, sarebbe bastato cancellare i file interessati, o al massimo disabilitare il www, senza quindi creare disagi anche per email etc.
4. Questa cosa dell'ente RSA non mi è molto chiara...
5. Last but not least, nella prima risposta al mio ticket mi è stato detto che avrei ricevuto informazioni su come riattivare l'account. Potreste molto cortesemente farmi sapere qualcosa?

Grazie

[morphey]

Salve,

primo punto:
L'RSA invia una email informativa per il sito di pishing a tre contatti:
1 - email dell mentainer del dominio;
2 - email all'admin-c del dominio (dovrebbe essere la Sua);
3 - email al mentainer della classe di IP (in questo caso INET).

secondo punto:

Citazione:

Misura cautelativa per prevenire un'eccessivo utilizzo del database, così mi è stato riferito nell'unica risposta che l'assistenza mi ha saputo fino ad ora dare.

Questo cosa centra con il sito di pishing?
Se fa parte dello stesso dominio, allora i problemi riscontrati dai tecnici sono 2.
Se parla di un altro dominio, allora bisogna fare un po' di chiarezza

Serverplan si è sempre riservata di sospendere gli accounts per un eccessivo utilizzo del processore (vedi mysql) o per comunicazioni da parte della RSA o per "scoperta" da parte del nostro staff fino a quando il problema non fosse risolto.
Per la prima causa è logico che bisogna sospendere preventivamente l'account (altrimenti vanno giu tutti i domini della stessa macchina creando non solo il problema a Lei ma anche a tutti gli altri utenti che hanno lo stesso hosting).
Per la seconda causa è sempre logico sospendere il tutto (e non solo cancellare i files di pishing messi su) per due semplici e basilari motivi:
1 - Bisogna rimuovere i files;
2 - Bisogna analizzare i logs per capire da dove è entrato.

Sul fatto del allow_url_fopen, serverplan cerca sempre di venire incontro ai suoi clienti abilitando funzionalitÃÂ*, per quanto possibile, che non vengono abilitate da altri hoster.
Io non credo che su un hosting quale "aruba", "tophost" o simili (senza nulla togliere alla qualitÃÂ* dei loro servizi) Lei trovi questa funzionalita' accessibile costringendola a passare ad un hosting di altro mnt (per esempio serverplan).

Il fatto che un programmatore poco attento non faccia il Suo dovere per quanto riguarda la sicurezza delle proprie applicazioni, non vuol dire che puo' compromettere la sicurezza e la visiblitÃÂ* di altri domini.

[martinsarsini]

Purtroppo non mi è arrivata nessuna email da parte di RSA. Forse è arrivato al mio cliente sbadato che sicuramente si sarÃÂ* domandato cosa fosse.

Per il secondo punto, penso che la chiarezza me la debba a me
Serverplan dato che questo è quanto mi è stato detto da parte loro in merito allo stesso identico account. (pishing è "disprezzare", credo volevate dire phishing).

Sul fatto della funzione allow_url_fopen non volevo assolutamente far intendere che è sbagliato averla attiva, tutt'altro! E' qualitÃÂ* in più che a differenza di altri provider Serverplan riesce a fornire. Deve essere premura di chi programma a mettere in atto tutte le accortezze necessarie per evitare falle di sicurezza. La mia era semplice constatazione.

Che Serverplan si sia sempre riservata di prendere tali azioni, ciò non la giustifica a non mantenere un comportamento eticamente corretto nei confronti dei clienti tenendoli prontamente informati.
Se questa è veramente la sua politica di relazione con i clienti non c'è nessun problema, anche se forse a quel punto inizierei a valutare gli altri provider che tu stesso hai indicato.

Non credo che se, per remota ipotesi, avesse avuto lo stesso problema il sito serverplan.com, sarebbe stato offline tutti questi giorni, con tanto di mail bloccate.

[serverplan]

Purtoppo il pishing è un argomento molto serio, in quanto vengono sottratti dati bancari a utenti ignari per tanto RSA ( http://www.rsa.com/node.aspx?id=3017) e la polizia postale inviano notifica per la sospensione del dominio e l'analisi dei log, abbiamo notato che il sito sembra essere realizzato con wordpress ha provveduto all'aggiornamento con l'ultima versione disponibile? ci faccia sapere la sua disponibilitÃÂ* in modo da riattivare il dominio.