Beh diciamo che un po di rumore c’è stato, quando ieri mattina il ns. sito è risultato “resettato”, resoconti e commenti li potete leggere qui e qui. Certo molto rumore ha avutola casella di posta di Starsailor che colpevole solo del fatto che non si come ha trovato il suo blog nel ns. database, si è ritrovato tempestato di mail di utenti WordPress Italy.
Chiariamo subito alcune cose:
- Starsailor ed il suo amico che lo sta aiutando col suo blog non hanno nessuna responsabilità .
- Problemi simili si sono verificati in altri siti WP ma non solo.
- Non si è trattato di un attacco che ha sfruttato un exploit di WordPress.
- Tutto si è risolto rapidamente e senza danni grazie alla pronta e fattiva collaborazione di TopHost.
Dopo analisi varie, indagini per capire se fosse un grave problema di WP etc, il tutto in continua collaborazione con TopHost siamo però arrivati alla conclusione che… non sappiamo cosa sia successo. Il fato che il tutto sia avvenuto a poche ore dall’introduzione da parte di TopHost del sistema di trafic-shaping sulle risorse MySQL, avrebbe fatto supporre che l’evento fosse imputabile a ciò. Il fatto è che il tutto si è verificato ore dopo l’attivazione del sistema e non ha avuto effetto nelle ore successive, visto che ieri ed oggi tali eventi non si sono più verificati. Altra cosa strana il non danneggiamento dei DB ma il loro azzeramento. Anche il fatto che il DB di Star-Sailor fosse diventato quello di WordPress Italy è, nella pratica e nella teoria, impossibile, visto che ogni DB ha nomi diversi dipendenti dal dominio, permessi ed utenti diversi etc, eppure sembrerebbe che le tabelle siano state magicamente “spostate”.
Sia noi che TopHost abbiamo appena chiuso il ticket a riguardo dicendoci l’amarezza di non esser riusciti a capire, chi come il sottoscritto, lavora nell’ambiente informatico da anni, ha già sperimentato situazioni simili, inspiegabili problemi irripetibili, bachi fantasma che a sfuggono a quasi ogni analisi, configurazioni identiche una funzionante e l’altra no senza difetti HW etc. etc. Arrivando al punto in cui capre richiederebbe analisi o impossibili (in questo caso non vi è un log dettagliato di ogni transazione SQL essendo il loro volume enorme per sistemi quale quelli di TH con migliaia di utenti e milioni di query SQL/giorno) o che richiederebbero sforzi per cui il gioco non vale la candela.
A noi di WordPress Italy interessa principalmente che non si è trattato di un exploit WordPress cosa che avrebbe provocato molti danni e non solo ai blogger italiani, appena se ne fosse avuta conoscenza. Il tutto si è risolto rapidamente, senza danni (abbiamo perso solo un trackback) nel caso TopHost non avesse potuto ripristinarci il DB il sistema ci aveva spedito il backup notturno e quindi non avremmo subito nessun danno o solo danni marginali.
Apprezziamo molto la sollecitudine e prontezza di TopHost nel contattare il sottoscritto (non vedendolo rispondere al ticket mi hanno contattato personalmente) e aiutarci a risolvere il problema, così come apprezziamo il nuovo sistema di traffici-shaping che già nella giornata di ieri ha eliminato ogni problema di lentezza o indisponibilità del server MySQL (ottimo lavoro ragazzi) ed a riguardo, visti gli accadimenti e i consigli apparsi su Prozone a cura di TopHost riguardo l’utilizzo di prodotti antispam per i propri blog e il suggerimento di limitare l’uso di PHPstats per le statistiche dei siti, la prossima settimana presenteremo 3 articoli a riguardo, nei quali mostreremo come e quali mezzi utilizza WordPress Italy contro lo spam e con quali risultati, come garantirsi un backup giornaliero del proprio blog WordPress e quali soluzioni adottare per avere le statistiche del proprio sito nella maniera migliore possibile.
Un grazie infine a tutti glifi utenti che ci hanno chiesto info, dato supporto ed anche a chi ha scritto mail all’incolpevole Star-sailor credendolo il responsabile de tutto. Grazie! 🙂
12 commenti su “Molto rumore per… nulla?”
Starsailor
17 Dicembre 2005 at 16:37Ragazzi, ero pronto a fare le valigie e presentarmi in questura. Tutto è bene quel che finisce bene. Proprio per farvi capire la mia “competenza” in materia, basta che clicchiate sul link al mio sito (non è spam, ancora non ho messo neppure il contatore! ahuahuahua) e visualizzerete un gran casino! 😀 Spero di riuscire a mettere in piedi il blog, ma il fatto è che ogni volta che tocco qualcosa adesso ho timore di smontare il sito della Casa Bianca o apparire al posto di Yahoo o che sò. Mah, speriamo bene…
Wà©, ed ho proprio risposto a tutti…nessuno escluso. 😉
Il primo mio post (quand’è che sarà ) lo dedicherò proprio a questa storia. …stavo a svaligia’ la Banca d’Italia senza saperlo! AHAHAHA!
Ciao a tutti
Francesco Sciotto
kagliostro
17 Dicembre 2005 at 16:45Ohh finalmente : è tutto il giorno che aspettavo ‘sto benedetto post ….
Cmq vi avverto che lunedì anche io mi compro il dominio su TOphost (ripeto : non avevo mai visto nulla di cosa “pulito” e semplice da utilizzare!).
Adesso le possibilità sono due : o me lo installate voi oppure devo pensarci io… e stavolta non so come andrebbe a finire… non è che su TopHost ospitate pure qualche server della Banca D’Italia ?
Ciao a tutti
PS : ovviamente la mia offerta di spiegarvi per filo e per segno i passi seguiti resta valida. Quando volete (non la notte però) potete contattarmi se vi servisse qualche informazione in più! Non sia mai che se si possa collaboarare ad un progetto così utile come WordPress non lo si faccia per pigrizia !
Ciao Ragazzi e buon LAVORO !
Mamma mia quanto è drammatico essere scambiato per un hacker senza oltrettuto esserlo !
SteveAgl
17 Dicembre 2005 at 17:45@Starsailor: il ns. forum è li se serve aiuto.
@Kagliostro: su su senza paura… non è successo nulla, per l’installazione a pagamento contattami 😛
enore savoia
18 Dicembre 2005 at 08:31Salve Steve … stamattina non avevo piu accesso ftp e il blog bloccato … cmq sono riuscito a risolvere e the work is in progress.
Tutto da rifare ma utile per fare pratica lmfao, complimenti per la sezione wicky me la sto passando passo passo !
Non sono ancora riuscito a determinare se si è trattato di problematiche Tophost di cui sono utente (ho aderito all’invito gratuito) o altro … ma come si dice nel mio ambiente “The show must go on”…
Saluti
SteveAgl
18 Dicembre 2005 at 09:36Il blog risultva azzerato come accaduto nei giorni scorsi? Nel caso apri un ticket con TopHost, ogni segnalazione che potesse aiutare a capire gli accadimenti dei giorni scorsi è utile, che ci sia rassegnati a dover chiudere il ticket è un conto che da informatici ci sia rimasto il tarlo dic apre un altro. Io ma sicuramente anche quelli di TopHost saremmo felici di capire.
Tophost
18 Dicembre 2005 at 13:34Che non sia un bug di wordpress ormai ci pare chiaro, stante anche il fatto che sono stati colpiti anche siti che non usano wordpress.
Che non dipenda dal nostro sistema di shaping e’ pacifico anche perche’ al piu’ potrebbe danneggiarle le tabelle non certo “svuotarle”.
Anche sql injection varie non danno una spiegazione perche’ occorrerebbe conoscere il nome del database e la password.
Leggendo quanto scritto in questo articolo + commenti ci e’ venuta un’idea: e se qualcuno avesse raccolto un po di password dei database? A quel punto sarebbe bastato un qualsiasi phpmyadmin (anche il nostro del cpanel) per svuotare i database.
Il fanno che comunque tutti i siti colpiti “girano” attorno al mondo dei blog ci lascia molto perplesso; per esempio prozone e tanti altri siti “amici” non sono stati colpiti.
Quanto abbiamo letto qui fa pensare che si siano “incartati” i dati tra un blog e l’altro. Uno spyware con un keylogger (magari messo in giro proprio sul circuito dei blog) potrebbe spiegare molte cose.
Quello che ci sembra strano e’ che molti dei siti colpiti, in qualche modo si conoscono o sono collegati tra loro.
Che ne pensate?
SteveAgl
18 Dicembre 2005 at 14:16Nel nostro caso i siti “collegati” che hanno qui commentoto non erano conosciuti, potrei avvlorare lìidea del keylogger ma… sul mio sistema (l’unico che utilizzo attualmente) ho tutto in sicurezza e sotto controllo, firewall, antivirus, non apro allegati strani, filtri antispam sulle email, tanto che in oltre 20 anni nessun mio PC ha mai preso un virus o altro. Inoltre il fatto che non siano stati interessat solo siti WP farebbe escludera una cosa del genere. Nel mio caso poi se avessero inercettato lemie password avrebbero avuto ache quelle di 40annibuttati.it che ha invece funzionato regolarmente.
La versione di WP in italiano da noi distribuita è generata a partire dalla distribuzione ufficiale, che qualche utente abbia potuto avere unaversione “infettata” non originale può essere, hche gli oltre 1000 download ad oggi nessuno avesse un antivirus che segnalasse un eventuale keylogger è poco credibile.
Certo rimane l’amaro in bocca per non riusciere a capire…
MrBrown
18 Dicembre 2005 at 14:19Uno spyware con un keylogger […] potrebbe spiegare molte cose.
è un’ipotesi possibile, consiglierei agli amici coivolti nel “problema” di farsi una bella scansione del pc e (se possibile) di cambiare le varie password dei loro DB.
kagliostro
18 Dicembre 2005 at 15:18Io già l’ho detto nel post precedente, ma torno a ripetere : all’inizio ho pensato che Starsailor avesse combinato qualcosa lui(e tra l’altro l’ho pure preso per il …. ), d’altra parte da quello che sappiamo tutto il bordello è successo di notte ed io alle 18 avevo già completato l’installazione ed era andato tutto bene quindi la mattina quando me l’ha detto non ho proprio pensato che potesse essere colpa mia.
Quando ho realizzato che molto probabilmente era stata la mia installazione a fare il bordello mi sono iniziato a preoccupare ed ho fatto una scansione del mio computer con Norton 2005 (dopo aver aggiornato a venerdì il “virus definition” ) ed ho trovato
23 file infetti da 2 virus
Purtroppo norton non dà un resoconto completo : mi ricordo solo che uno dei due file si chiamava “crack.exe” e su entrambi c’era scitto “troyan”
Aggiungo un’altra cosa : 1 settimana fa un altro blogger mi contatta via mail e mi dice che la sua casella di posta viene riempita da messaggi pubblicitari mandati dalla mia GMAIL.
Gli chiedo se nei messaggi c’è scritto qualcosa di mio (di personale, per intenderci) e lui risponde che assolutamente NO, sono vuoti, ma sono decine e decine al giorno.
Dopo 1 settimana cessano.
Io uso la GMAIL e lo faccio solo online (non con Outlook) : è possibile una cosa del genere ? Oppure può centrarci in qualche modo con questa vicenda ?
E soprattutto questa cosa delle mail dipenda da me o più probabile che il tizio abbia lui un virus ?
Possibile che nessuno riesca a dare una spiegazione a questo fatto ?
PS : aggiungo una cosa, ma non credi c’entri tanto. Sono giorni (parecchi) che nella nostra community gira un mitomane che va lasciando messaggi a destra e manca dicendo che “noi siamo feccia” e che se non abbandoniamo la community un suo amico SUPERHACKER ci farà vedere lui.
Ora questo è un mitomane (però ‘sto passaggio di blog di Starsailor era sbandierato ai quattro venti da settimane!) e soprattutto non poteva sapere che l’installazione a Starsailor glielo stavo facendo io, ma … boh.
Insomma potrebbe esserci stata anche un’intrusione nel mio PC ? A me sembra MOOOOOOOOOOOOLTO difficile (eppoi la notte io lo spengo…) però se è utile posso chiedere agli altri tenutari di blog se qualcuno ha preso l’IP del tizio (e penso proprio di sì).
A proposito : uno dei file infetti era un file .class della java virtual machine… Può tornarvi utile ?
SteveAgl
18 Dicembre 2005 at 16:39Appena terminata una sconsione totale dl sistema con due antivirus diversi e due spyware… e come immaginavo il mio sistema è sterile. Ergo le mie pasword di sicoro non sono state intercettate su questo sistema.
enore savoia
19 Dicembre 2005 at 07:18@Steve
confermo anche la mia macchina è pulita !
Cmq La problematica che ho riscontrato ieri ..si è trattato solo di un blocco del template caricato e non poter accedere al ftp … via pannello admin ho transitato tranquillamente … ho dovuto buttare giù il tema presente e ricaricarne uno nuovo … ma WP è integro e altrettanto mySQL
@MrBrown : ho seguito le sue indicazioni cambiate le pw !
laz
23 Dicembre 2005 at 17:52