Ho ricevuto una notifica di abuso con origine un mio dominio. Cosa devo fare?

La sicurezza dei siti web e di tutti i software/script installati all'interno di un account di hosting è un aspetto fondamentale che richiede la massima attenzione sia da parte dell'hosting provider che dal titolare dell'account. Questo perchè la compromissione di un servizio di hosting può avere ripercussioni anche gravi, a carico non solo del provider ma anche del Cliente stesso e di tutti gli utilizzatori (visitatori) dei suoi servizi. Occorre sempre tener presente che le compromissioni di sicurezza che avvengono come dimostrazione delle capacità tecniche di un hacker o aspirante tale, sono solo una piccola parte: tutte le altre avvengono per uno scopo preciso, cioè quello di sfruttare l'hosting del Cliente per altre attività, quasi sempre illegali e dalle conseguenze potenzialmente anche molto serie.

La prevenzione resta l'arma più sicura per evitare problemi, ma quando un Cliente riceve una segnalazione di possibile abuso, significa che potrebbe essere già troppo tardi e occorre intervenire tempestivamente.

LE POSSIBILI E PIU' FREQUENTI CAUSE DI UN ABUSO.
Elenchiamo alcuni dei metodi di violazione più frequenti ai danni di un hosting account. In caso di dubbio su quale possa essere l'origine di una violazione, è opportuno esaminare con attenzione e passo per passo ogni singolo punto di questo elenco.

1) password di accesso a caselle email, account FTP, pannelli di controllo e scripts troppo brevi e/o troppo semplici, di uso comune o facilmente riconducibili alla persona o all'attività svolta. Le password devono rispettare i criteri indicati nelle nostre guidelines sulla sicurezza (v. altro articolo nelle nostre FAQ). L'uso del generatore di password random, che è presente in ogni pagina del pannello di controllo in cui si crea/modifica una password, è la migliore e più rapida soluzione. Ovviamente, utilizzando password generate casualmente e quindi non mnemoniche, dovranno essere trascritte e conservate in modo sicuro, mediante l'uso di app di crittazione appositamente studiate per salvare le vostre password, oppure trascrivendole solo su carta.

2) password comunicate per sbaglio dai legittimi utilizzatori del servizio, in risposta ad email di truffa (phishing)
Capita sempre più di frequente che i titolari di servizi di hosting o i contatti email pubblici di siti web ricevano le cosiddette "email di phishing", cioè false comunicazioni che simulano un avviso proveniente dal server stesso (o da parte del gestore) e simulano presunte:
- scadenze imminenti di password
- esaurimento imminente dello spazio libero
- aggiornamenti di software necessari
- altri eventi che richiedano una autenticazione ad una pagina tramite la propria username e password.
Tutte queste false richieste potrebbero anche simulare l'aspetto grafico di una comunicazione autentica (ecco perché si parla di phishing) ma contengono link che non sono mai quelli reali del servizio o del server che gestisce il servizio, anche se potrebbero in qualche modo somigliare. Lo scopo è convincere proprio il destinatario dell'email a fornire le proprie credenziali di accesso, anche se poi l'esito di solito finisce su una pagina di errore o una pagina generica. 

3) violazione di sicurezza sulla rete locale del cliente finale.
Es: presenza su uno o più computers di virus trojan, keylogger, rootkit ecc. a causa di:
a) sistemi operativi ed internet browsers obsoleti e non più aggiornati
b) software pirata (warez, password crackers, ecc) installato su un computer del Cliente. Una larga percentuale di software pirata reperibile in rete contiene backdoor e virus trojan, molto spesso non rilevabile dai software antivirus in fase di installazione.
c) antivirus inefficienti o non aggiornati
d) altre falle di sicurezza.
Un hacker è facilmente in grado di reperire informazioni sensibili da un computer o una rete compromessa, intercettando con varie tecniche password di accesso a tutti i servizi utilizzati da quel computer. Inclusi gli accessi a email e siti web.

4) presenza nell'account di software cgi o php non aggiornati e/o soggetti a vulnerabilità remote.
Le modalità sono molteplici e non ci dilungheremo qui per affrontare questo argomento. Gli errori più comuni in casi di compromissione sono:
a) utilizzo di permessi di scrittura rischiosi su files o cartelle (chmod 777, 666 ecc.)
b) mancati aggiornamenti dei più noti CMS in commercio e/o mancata implementazione di alcune misure preventive essenziali (es: http://codex.wordpress.org/Hardening_WordPress)
c) installazione di plugins o temi/templates di origine non sicura. Una percentuale non indifferente di plugins e moduli freeware per i più diffusi CMS contiene contiene vulnerabilità non intenzionali o a volte specificamente intenzionali (malware). Peggio ancora per i software di tipo "nulled" reperibile in rete, che sono il veicolo preferito per spammers ed hackers per ottenere facili accessi a server remoti attraverso php shell/backdoors nascoste all'interno del codice.

5) utilizzo delle stesse password anche per accessi ad altri servizi, inclusi altri siti web, servizi email, forum, social networks non collegati a questa attività. Le password di accesso a servizi sensibili devono essere univoche, ovvero non riutilizzate altrove e per nessun altro scopo!

QUALI SOLUZIONI?

Se sei arrivato su questo articolo perché ti è stato segnalato un problema di sicurezza su tuoi servizi Hosting o sul tuo sito web, o comunque se pensi che possa essercene uno, LineaHosting consiglia di seguire un approccio metodico per esclusione, ovvero iniziando da quest'elenco per ecludere scrupolosamente le possibili cause e soffermandosi su ogni punto in caso di dubbio. Il dubbio deve essere inteso come possibile origine del problema, e quindi va escluso adottando tutte le metodiche del caso.
Per prima cosa, modifica il prima possibile tutte le password dei servizi che potrebbero essere state compromesse: pannelli di controllo, caselle E-mail, accessi come amministratore a siti web, ecc.
In seconda battuta, devi individuare con ragionevole certezza le cause che hanno portato alla compromissione, per evitare che la violazione di sicurezza si ripeta anche sulle nuove password che hai appena modificato. Molte di queste verifiche e analisi richiedono competenze tecniche specifiche, che potrebbero non essere alla portata di un'azienda o un webmaster con una conoscenza basilare di sicurezza informatica e programmazione. In tal caso, diventa indispensabile affidarsi all'aiuto di personale tecnico con competenze mirate, che vi aiuterà a trovare e correggere le falle che hanno permesso l'abuso. Per tutti i servizi di Hosting forniti da noi, il Supporto Tecnico di LineaHosting si rende disponibile sia a fornire indicazioni e supporto su come meglio procedere per risolvere autonomamente il problema, sia (eventualmente) a concordare con il Cliente un'attività di consulenza mirata alla risoluzione di un abuso.


Ultimo aggiornamento: Novembre 2023
©Copyrights 2002-2023 LineaHosting - tutti i diritti riservati

  • cyber, sicurezza, hosting, violazioni, accessi, password, scripts, vulnerabilità, rischi, account, sito web, compromesso
  • 24 Utenti hanno trovato utile questa risposta
Hai trovato utile questa risposta?

Articoli Correlati

Vademecum sicurezza: 10 consigli pratici per rendere più sicuro il tuo Hosting.

Aggiornato il: 15 Aprile 2016 In questo breve e ci auguriamo utile documento, abbiamo stilato un...

Ho smarrito la password del pannello di controllo, di un accesso E-mail o FTP. Cosa fare?

Come regola generale è bene annotarti in un posto sicuro le password di accesso. Ma soprattutto...

Non riesco ad accedere a CPanel o a WHM

Se il dominio associato al piano hosting è attivo, occorre innanzitutto verificare se riesci a...

Ripetuti errori di login e blocco degli IP

Tutti i Server condivisi di LineaHosting utilizzano sistemi che prevengono gli attacchi di tipo...

I piani di hosting sono forniti di accesso SSH?

Sui piani hosting Linea Pro e Linea Reseller di LineaHosting è previsto anche un accesso SSH per...