Smistamento files porno su IP di register.it? (Nessuno smistamento ma spam su referrer) Marzo – Giugno 2009 Forse Oltre 1.000 siti colpiti (da anomalia del sistema di statistiche) Irrisolto dopo vari mesi (finalmente prontamente risolto)
Inizia il mese di Luglio con una bella sorpresa vado su www.google.it/webmasters a controllare la situazione dei miei siti e mi accorgo di uno strano comportamento dello spider googlebot.
Il primo pensiero è stato che fosse in atto una qualche penalizzazione e lo spider passasse sempre meno, però meglio indagare
A questo punto vado a vedere le statistiche ottenute con webalizer offerte dal provider . E quà scopro che alle ore 23 di ogni giorno ho una quantità di accessi nello spazio web molto grande rispetto alla media, per di piu in quell’unica ora vengono movimentati 300 Kb di non so cosa. PANICO!!! Un virus nel mio sito
1) Mi scarico in FTP tutto il sito nel mio computer in una cartella nuova per passarlo sotto il setaccio dell’antivirus e per controllare pagina per pagina il codice alla scoperta. NIENTE DI DI ANOMALO.
2) Poi vado a cambiare la password e l’accesso al pannello del sito e cambiare anche subito la password FTP
3) Non rimane adesso altro da fare che indagare se sullo stesso IP ci sono altri siti con lo stesso problema il che vorrebbe dire che si tratta di una probabile falla nel sistema di sicurezza del provider in questo caso Register (www.register.it) il più grosso dei provider italiani .
Questa operazione non sempre è possibile ma in questo caso mi è stato sufficiente andare a controllare le statistiche dei primi 10 siti presenti sullo stesso IP
Quindi vado prima in uno dei servizi gratuiti di “Reverse IP”
es. http://www.yougetsignal.com/tools/web-sites-on-web-server/
ottengo il mio elenco dei compagni di IP
Poi Li controllo uno a uno cercando di visualizzare le loro statische
www.nomesito.ext/stats/webalizer/
Ho potuto analizzare tutti quelli che non hanno protetto le statistiche e su tutti ho evidenziato lo stesso problema “enorme numero di accessi dalle ore 21 alle 23 con picco notevolissimo dalla 23 alle 24.”
Questo ha evidenziato che si puo trattare di una probabile falla sul sitema di sicurezza di register con probabile accesso alle password e allo spazio di ogni singolo dominio ma questo non è certo perche pur cambiando le Password il problema permane.
Sembra invece che non si tratti di una falla nella sicurezza di Register it ma di “Spam su referrer” una tecnica di spam che colpisce i siti che hanno le statistiche non protette come suggerisce lo stesso Register
Da quanto dura questo problema e questa ipotetica falla nella sicurezza di Register?
Controllo su webalizer il mese di Maggio e verifico che era gia attivo il problema, controllo il mese di Aprile e mi accorgo che il problema è presente e attivo dal 10 di Aprile con aumento imprevedibile dei contatti distribuiti però dalle 10 di mattina alle 24 di sera, controllo Marzo idem.
Naturalmente controllo anche i referrer e vedo accessi sempre da siti particolari come analizzati sotto.
L’attacco cosa provoca e da chi arriva?
Per indagare e cercare di capire chi sta usando lo spazio (dopo le precisazioni di Register it viene chiarito che non si tratta di uso fraudolento dello spazio ma di impegno di banda dovuto allo spam, non imputabile a falla di sicurezza) e a quali scopi, analizzo l’elenco dei referrer e qua sono le note molto dolenti, perche guardando gli URL dei visitatori scopro che la quasi totalità sono siti porno o similari. (Lo scopo come chiarito in altro post è esclusivamente quello di ottenere link popularity)
Questo perlomeno nel mio sito mentre gli altri siti dello stesso IP che hanno il problema sembrano non avere la questione del porno ma solo quella di un traffico ingiustificato (con impegno di banda ) che puo andare in situazione tale da alzare notevolmente i tempi di accesso alle pagine con conseguente penalizzazione da parte degli spider che arrivano ad ignorarti:
Come ha reagito Register all’attacco?
( è stato chiarito che non è un attacco a Register ma un attacco di “spam su referrer” sul mio sito mentre sugli altri imputabile ad un errore durante la generazione dei report statistici”)
Io personalmente e anche una mia collega non abbiamo avuto nessuna comunicazione da parte di Register (Cosa che invece fece a suo tempo Aruba quando subi l’attacco avverti tutti di cambiare le password).
Varrebbe la pena di chiedersi se Register si è accorto di questo. Ebbene è praticamente impossibile che non se ne sia accorto perche negli ultimi 2 mesi gli accessi si concentrano atttorno alle ore 23 e a questa ora dovrebbe rilevare un aumento della banda impegnata notevole
La denuncia alla Polizia di Stato
(la denuncia alla polizia di stato è stata fatta contro ignoti a tutela nel mio caso essendo provenienze porno)
Essendo l’attacco o quantomeno gli ingressi ingiustificati provenienti da siti con contenuti porno e forse pedoporno sono costretto anche ad effettuare una denuncia alla polizia di stato per salvaguardare la mia ditta ma anche quella delle decine di compagni di IP che forse ancora non si sono accorti di niente e inconsapevolmente fanno da tramite allo smistamento di materiale porno.
Register IT non mette a disposizione i log per un’analisi e un controllo, Questo mi viene confermato alla risposta al ticket di aiuto (questioni di privacy)
Cambio provider
Naturalmente una situazione che si protrae da mesi senza che ci sia un intervento da parte di Register che non affronta il problema (almeno cosi sembra) è grave. Quindi adesso che mi sono accorto del problema nel giro di 2 gg sono gia su un altro provider.
Ho gia cambiato provider adesso sono su pannello Plesk e posso controllare e scaricare i log
La conferme che si tratti di “Spam su referrer” è data dal fatto che anche cambiando provider permane il problema ma adesso coi log mi faccio l’elenco dei siti spam e li escludo)
Sei sull’IP 195.110.124.133 controlla se hai il problema (sulle statistiche)
- Controllare frequentemente il sito con gli strumenti diagnostici di Google webmaster
- Controllare le statistiche del sito (webalizer Shinestat, o Analytics )
- Controllare il codice html delle pagine per scoprire eventuali iniezioni di codici spam (iframe, script, ecc.)
- Controlla la quantità di banda che ti fregano questi accessi fraudolenti non voluti
- Controllare i compagni di IP (Servizio di Reverse IP) per vedere se hanno lo stesso problema