Nessun server e' mai al sicuro

...per lo meno se non lo sono i client che lo utilizzano.

Qualche giorno fa, il provider su cui ho il server in housing (e sul quale gestisco anche alcune macchine di miei clienti) mi ha segnalato che ci sono e-mail di spam che sono andate in giro promuovendo una pagina all'interno del sito di un mio cliente. Sicuro della correttezza di quest'ultimo, che conosco da anni e che e' un gruppo di professionisti seri e affidabili, comprendo subito che qualcosa non torna. Inizialmente penso ad un errore, notando che le mail di spam non provenivano dal server in questione ma contenevano un link ad una pagina (teoricamente) inesistente.

Il sito e' su una macchina virtuale XEN dedicata, all'interno del mio server (dragas e' su un'altra macchina virtuale all'interno dello stesso server). Vado a controllare e... effettivamente noto che la pagina in questione esiste ed e' spam.

Come ha fatto il malfattore ad entrare e a inserire i suoi contenuti? Comincio ad indagare e noto che e' entrato via ftp, utilizzando l'account principale che il mio cliente usa per aggiornare il sito. Per la password e' andato direttamente sul sicuro senza neanche fare tentativi casuali o di brute force.

Essendo non banale, deve averla saputa. Contattato il cliente che, spaventato e preoccupato, mi ha raccontato di aver effettuato un aggiornamento del sito proprio il giorno prima, da una delle macchine Windows del suo studio.

Ho provato a risalire, essendo mia anche la gestione del server interno che hanno in ufficio (che si occupa, tra le altre cose, anche delle linee telefoniche Telecom, fonia VOIP e intrecci tra di esse), ad eventuali tracce di connessioni strane leggendo i log. In pratica, quando loro si sono connessi via ftp e' automaticamente partita una nuova connessione proprio verso l'ip incriminato,  quello del cracker. Evidentemente, la macchina Windows era affetta da qualche trojan che ha mandato tutte le eventuali password al suo creatore.

Mi riallaccio quindi al mio post di qualche tempo fa: il server e' sicurissimo, con password complesse e crittografia un po' ovunque. Eppure, questo non e' bastato per salvaguardare i dati e l'integrita' degli account in esso presenti.

Nessun server puo' ritenersi del tutto sicuro, a meno che per sicurezza non si intenda semplicemente l'impossibilita' di diventare root su di esso.

Meditate...

Commenti