Richiesta di aiuto

[storecold]

Salve a tutti, dopo aver vagato per qualche giorno sul web ho trovato il vostro forum e credo che sia sicuramente in grado di fornirmi le risposte che cerco.
Veniamo al dunque, da aprile ho aperto un e-commerce, il sito è stato realizzato dagli stessi programmatori che mi hanno fornito anche il gestionale, ed è stato appoggiato in formula di housing sul provider televideocom.
Dopo un mese circa a causa di un attacco hacker al server abbiamo perso buona parte dei dati, ma grazie ai backup e a due giorni di duro lavoro il sito è tornato in piedi.
Circa 3 settimane fa il sito ha cominciato a rallentare fino a sedersi completamente dando il tanto temuto Denial of service.
Interpellando i programmatori sul problema, la risposta è stata siamo sotto attacco Dos.....
Abbiamo cambiato l'ip del sito ma solo dopo 5 minuti gli attacchi hanno ripreso.
A quanto pare televideocom non ha la possibilità di contrastare in alcun modo questi attacchi, e al momento il sito riesce a stare in linea con un programma che "dovrebbe" riconoscere gli Ip molesti e bannarli, ma spesso rallenta troppo.
Secondo me è quasi impossibile che un sito appena aperto e con poco traffico sia oggetto di un attacco del genere.
Quindi chiedo a tutti voi se esiste un provider o una web farm che abbia una specie di protezione in questi casi?
E' possibile che non sia il mio sito ad essere stato preso di mira ma una serie di ip gestiti da televideocom?
Spostare il sito su un altro provider sarebbe una soluzione?
Spero che mi possiate aiutare, perchè dopo mesi di duro lavoro e soldi spesi non voglio arrendermi.
Grazie

[touchweb]

Gli attacchi dos sono comuni, basta scegliere un provider con apparati "dos resistenti".

Ciao.

[GrG]

Gli attacchi sono comuni ed è difficile per te capire se il bersaglio sei tu o il provider. Dovrebbero dirtelo loro.

Solitamente passando a provider più grossi e quindi con più banda e apparati per mitigare il problema, risolvi.

[Alex]

se hai aperto da meno di 3 mesi credo di poter dire che non è un attacco diretto a te, per fare un posizionamento decente sui motori servono almeno 6 mesi, quindi non avendoli superati diciamo che il tuo sito è ancora "poco noto" quindi sento di escludere sia oggetto di attacchi.
Cambia provider e risolvi

[Pietron]

Ciao,non per cattiveria,ma dopo il ripristino dei backup avete cercato e corretto il bug?
Perchè qualora avessero trovato il bug,la prima volta vi hanno defacciato il sito,ma la seconda si sono salvati qualche backdoor o simile e quindi usano il vostro server. (non ho ben capito se avete un vostro server oppure un webhosting normale).
In primis vi consiglierei di contorllare bene i log di apache,per escludere in via definitiva intrusioni da terzi e nel caso di server dedicati controllare bene gli utenti con i rispettivi privilegi.

I DOS (anche se presumo tu intenda un DDOS) visto che un DOS si mitiga con delle regole settate con IPTABLES vengono bloccati "bene" da 2 farm. Una svizzera con costi folli a mio avviso ed un'altra canadese con costi più contenuti ma hai lo svantaggio della latenza essendo oltreoceano.
Magari dacci qualche informazioni in più riguardo interventi fatti/precauzioni.

[lord2y]

Circa 3 settimane fa il sito ha cominciato a rallentare fino a sedersi completamente dando il tanto temuto Denial of service. <br />
Interpellando i programmatori sul problema, la risposta è stata siamo sotto attacco Dos.....<br />
Abbiamo cambiato l'ip del sito ma solo dopo 5 minuti gli attacchi hanno ripreso.<br />
A quanto pare televideocom non ha la possibilità di contrastare in alcun modo questi attacchi, e al momento il sito riesce a stare in linea con un programma che &amp;quot;dovrebbe&amp;quot; riconoscere gli Ip molesti e bannarli, ma spesso rallenta troppo.<br />
Secondo me è quasi impossibile che un sito appena aperto e con poco traffico sia oggetto di un attacco del genere.<br />

Consiederazione personale:

il provider che hai indicato è un lir, e fa peering con tiscali e telecom italia. Non credo che abbiano apparati poco capienti. Filtrano icmp segno che hanno dei firewall o cmq delle regole di filtering. Con questo non voglio dire che sono seri, ma sembrano aver fatto le cose &quot;per bene&quot;. Quindi restringiamo il campo ad un problema di server e/o applicativo.

Consigli:

1. chiedi le statistiche del sito per verificare quanto traffico genera. Così puoi capire da solo se sussiste un &quot;DoS&quot; oppure ti stanno prendendo per il naso.
2. chiedi ai programmatori di fare un analisi sulle query del DB e soprattutto verifica con i programmatori che non ci sia un sovraccarico sulla gestione dei timestamp dei visitatori (la cosa migliore sarebbe fare una verifica sulle slow query di MySQL - se di MySQL stiamo parlando)
3. se l'applicativo si basa su qualche framework e/o software open accertati che l'hosting rispetti i requisiti minimi per il corretto funzionamento.
4. concordo con Pietron:se c'è stato un precedente attacco potrebbe non essere stato "pulito" bene il sistema ed è rimasto qualcosa che occupa banda, ma non dipende dal tuo sito.

Spero che i miei consigli ti siano di aiuto.

My2Cents

[guest]

Consiederazione personale:

il provider che hai indicato è un lir, e fa peering con tiscali e telecom italia. Non credo che abbiano apparati poco capienti. Filtrano icmp segno che hanno dei firewall o cmq delle regole di filtering. Con questo non voglio dire che sono seri, ma sembrano aver fatto le cose &quot;per bene&quot;.

Conta poco se non niente.
Noi facciamo peering con Interoute e Cogent, probabilmente tra i primi 5-10 operatori al mondo in termini di capacità di banda.
Ciò non significa che noi abbiamo tutta la banda di Interoute e Cogent e quindi essere immuni dai DDOS.

Conta la banda che ha il provider, non con chi fa peering.

Comunque dubito sia un attacco DDOS, secondo me è semplicemente qualche bambinetto che cerca di sfondare un server mal gestito. Leggo che si parla di housing, se è gestito dagli stessi programmatori che han fatto l'ecommerce (che è stato sfondato e bucato dopo poco tempo con perdita di dati) non oso immaginare come sia messo il server, sinceramente.

Magari qualche configurazione errata di apache o qualche altro servizio e pian piano il server vien steso anche da un bambinetto con i vari tool visibili su youtube.

EDIT: se fosse un DDoS vero, televideocom ti/vi avrebbe già contattato o sospeso il servizio. Ma comunque sicuramente si sarebbero fatti vivi facendo presente l'accaduto.

[lord2y]

Conta poco se non niente.
Noi facciamo peering con Interoute e Cogent, probabilmente tra i primi 5-10 operatori al mondo in termini di capacità di banda.
Ciò non significa che noi abbiamo tutta la banda di Interoute e Cogent e quindi essere immuni dai DDOS.

Conta la banda che ha il provider, non con chi fa peering.

concordo, volevo solo sottolineare che probabilmente non è un provider che ha un uplink da 10Mbps o poco più, non che sia immune da DDos e/o che abbia banda infinita.

Concordo sulla probabilità che se il problema non è applicativo è legato a qualche scriptkiddie che si sta divertendo.

[guest]

Concordo sulla probabilità che se il problema non è applicativo è legato a qualche scriptkiddie che si sta divertendo.

Ci metto la mano sul fuoco guarda...

[storecold]

Ringrazio tutti per la collaborazione, sapevo che andavo sul sicuro in questo forum.
Tutto inizia ad essere un pò più chiaro.
Rispondo a qualche domanda.
Il sito è in Housing, quindi il server l'hanno fornito i programmatori, e spero vivamente che dopo il primo attacco abbiano fatto una pulizia accurata del server.
Sono riuscito ad avere l'acces log da dove, mi dicono si evincono gli attacchi....me lo confermate??
Comunque girerò un pò di domande ai programmatori.
PS mi parlate di provider più grossi...qualche nome??
Grazie ancora ragazzi siete stati utilissimi.

[guest]

Secondo me anche se vai alla NASA avresti lo stesso problema.
Non credo sia un DDoS, ma semplicemente un server configurato male o un ecommerce mal programmato che quindi ti stende il server.

[usu]

Digli di installarti munin e darti l'url allo stesso così capiamo subito di cosa si tratta

[GrG]

il provider che hai indicato è un lir, e fa peering con tiscali e telecom italia. Non credo che abbiano apparati poco capienti. Filtrano icmp segno che hanno dei firewall o cmq delle regole di filtering. Con questo non voglio dire che sono seri, ma sembrano aver fatto le cose &quot;per bene&quot;. Quindi restringiamo il campo ad un problema di server e/o applicativo

Guarda che si può diventare LIR anche con due linee in rame da 8 mbps o con un 7200 VXR a cui ti arrivano in fibra 20 + 20 mega.

Prima di procedere bisogna quindi verificare se si è davvero sotto DoS e se si, se questo è diretto al singolo IP o alla classe.

Se il problema è di conf del server (e non lo escluderei considerato che già una volta ti hanno aperto il sito) cambiando provider non risolvi niente.

In che rapporti sei con chi ti ha fatto il sito? Visto che hai fatto il nome del provider, nel 90 % dei casi fare il nome qui sul forum aiuta la risoluzione veloce del problema.

[Eightgames]

Ci terrei a precisare che un attacco dos, è praticabile con un semplice ping di connessione.

[GrG]

Si, quindi?