Jump to content
Sign in to follow this  
theprincy

Come comportarsi : un sito causa Cross site scripting

Recommended Posts

Un sito hostato sul mio server , è stato causa di un Cross site scripting, durante tutto il mese di maggio.

Più volte è stato avvisato tramite email , tickets di supporto, skype e telefonate, di porre rimedio a questo, pena il blocco del sito, "scocciato delle continue prese per culo.

 

Il titolare aveva più volte affermato di aver sistemato " mi pare che era il 23/24 maggio sospendo il sito, il titolare mi contatta dopo due/tre ore dal blocco dicendomi che lo aveva sistemato e che lo aveva caricato sul server, il sito viene sbloccato vengo ri-abilitate le funzioni "dl, exec, passthru, system, shell_exec" , che in precedenza erano state disattivate, il server resta operativo poche ore, conseguenza appena il sito manda in "crash" interso server, il traffico/consumo banda è pari a circa 9.000GB , da premettere che banda/traffico per ogni sito è stabilito a 4.500gb.

 

Dopo questo down ricontatto il cliente è molto gentilmente gli dico che il tuo sito non lo voglio più ospitare sul server, perché le prese per i fondelli non mi piacciono, mi piace la chiarezza " se avesse detto : non lo so fare, non sono capace, oppure non l'ho fatto perché non ho avuto tempo" avrei preso altri provvedimenti a supporto suo e del server.

Personalmente dal mese di aprile da quando il sito è stato ospitato ho fatto sempre il possibile per offrire anche su questa macchina un servizio di qualità, aggiornando prima php, mysql, poi installando il mod_security, disattivando e/o meglio impostando diverse regole per il blocco di script , ma purtroppo non è servito a nulla sino a quando non è stato impostato la gestione del php.ini per ogni spazio web.

 

Chiedo come devo comportarmi con questo cliente , visto che

a ) ha causato un Cross site scripting, facendo si che un "hacker" installasse un ircd sul server

b) a causa dei blocchi alcuni clienti hostati su quel server hanno chiesto la recessione del contratto

 

Soluzioni:

1) Gli faccio pagare la banda che ha consumato

2) lascio perdere la cosa

3) Alcuni clienti vogliono sapere l'origine della causa di tutto questo , do il nominativo e se la vedono direttamente loro ?

4) ... consigli ?

Share this post


Link to post
Share on other sites

1) Gli faccio pagare la banda che ha consumato

2) lascio perdere la cosa

3) Alcuni clienti vogliono sapere l'origine della causa di tutto questo , do il nominativo e se la vedono direttamente loro

4) ... consigli ?

 

1) Se il contratto che ha sottoscritto lo prevede potresti benissimo farlo

2) A tua discrezione

3) Devi rispondere tu direttamente nei confronti dei tuoi clienti e poi, eventualmente, rivalerti sulla persona che ti ha creato problemi. Di certo i tuoi clienti non hanno alcun diritto a denunciare la persona che ha causato il problema dato che non hanno alcun rapporto con la suddetta.

 

PS: Non è che si capisca granché dal tuo post, se inserisci un pò di punteggiatura in più non fai male ;)

 

Saluti.

Share this post


Link to post
Share on other sites

Direi che l'hai già avvisato a sufficienza.. Cosa prevede il tuo contratto?

 

In base al contratto, avvisa il cliente e sospendi l'account a tempo indeterminato.

 

In caso di clienti così direi che sospendere l'account sia la migliore soluzione, perchè se agisci diversamente (facendo pagare il traffico) lo "inviti" a continuare nel suo atteggiamento (di presa per i fondelli).

 

Marino

Share this post


Link to post
Share on other sites

1) Se il contratto che ha sottoscritto lo prevede potresti benissimo farlo

2) A tua discrezione

3) Devi rispondere tu direttamente nei confronti dei tuoi clienti e poi, eventualmente, rivalerti sulla persona che ti ha creato problemi. Di certo i tuoi clienti non hanno alcun diritto a denunciare la persona che ha causato il problema dato che non hanno alcun rapporto con la suddetta.

 

PS: Non è che si capisca granché dal tuo post, se inserisci un pò di punteggiatura in più non fai male ;)

 

Saluti.

 

l'ho scritto di fretta ed ero e sono ancora incazzato ... comunque ora inserirò i ... ,,, !!! volevo fare come a Totò :cartello_lol:

 

1) si il contratto lo prevede

3) capito , parlerò con questi clienti , vedremo cosa ne uscirà fuori

 

 

comunque ora è stato recesso il servizio hosting, ora gli gestisco solo i dns , sarei tentanto di avvisare attuale hosting della scarsa sicurezza del sito che incorre farei bene o e meglio farmi i azzi miei ?

Share this post


Link to post
Share on other sites
sarei tentanto di avvisare attuale hosting della scarsa sicurezza del sito che incorre farei bene o e meglio farmi i azzi miei ?

 

da persona incredibilmente bastarda che sono (non vi preoccupate, sono così solo con chi se lo merita) li avviserei...

Share this post


Link to post
Share on other sites
da persona incredibilmente bastarda che sono (non vi preoccupate, sono così solo con chi se lo merita) li avviserei...

 

credo che tutti diventiamo bastardi con chi se lo merita :fuma:

 

vi ringrazio dei consigli a buon rendere se posso nel mio piccolo

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×