Cybersecurity

Accorgersi di essere sotto attacco informatico… nel momento sbagliato

29 Novembre 2012

È sabato sera. Preparativi per uscire, serata tranquilla, musica a palla e camicia sfoderata.
Tra le note di un famoso assolo di Angus Young avverto la vibrazione del cellulare.
Chi sarà mai? Il solito amico ritardatario? Invece no!


 

Uno strano e insolito messaggio dal monitor di Kaseya mi avverte che la CPU di un server web è al 100%.
Forse è il software di backup? No!
Sono appena le venti… Allora cosa diavolo succede?

In questo preciso momento mi arriva un'altra email dal firewall che mi annuncia un picco di traffico anomalo in uscita dallo stesso server.
Panico! E ora cosa faccio?
Calma e sangue freddo. Ripassiamo alcune nozioni d'informatica:

  • qual è la funzione principale di un server? Servire le richieste.
  • E cosa sta facendo il mio server? Sta facendo delle richieste!
  • E verso dove? Non c'è altra soluzione, devo collegarmi al software di monitoraggio del traffico.

Improvvisamente tutto mi appare chiaro: più di centomila richieste in pochi minuti del mio server verso siti russi!
Subito dopo calma piatta. Ogni tanto del traffico in uscita SSL e verso uno strano servizio tcp/6667, ma nulla di che.
Cosa?! Ma cavolo, ora ricordo!
La porta 6667 è utilizzata da canali di comunicazione IRC.
Non c'è dubbio: il mio server mi ha abbandonato per passare alle forze oscure, ormai è uno zombie che fa parte di chissà quale botnet
E ora cosa faccio? I miei amici mi aspettano!
Pensavo tra me e me: "Vito, ragiona!".

  • Qual è il compito di un bot informatico? Eseguire gli ordini.
  • Come posso impedirlo? Semplice, non deve ascoltare gli ordini!
  • E se intanto hanno creato una back door? Devo impedire che ci accedano.

Immediatamente blocco tutto il traffico in uscita, compreso HTTP, SSL e IRC, blocco in entrata l'SSH, riavvio e attendo.

Il valore della percentuale della CPU non sale, tutte le richieste verso quei siti russi sono bloccate, i siti che il server ospita sono ancora disponibili.
La macchina è compromessa ma disarmata!
E io, grazie al monitoraggio di Kaseya combinato con quello del firewall, ho evitato un disastro e salvato la mia meritata serata!

Ti è mai capitato di accorgerti nel momento sbagliato di essere sotto attacco informatico? Cosa hai fatto?

Autore
Vito Pietrapertosa
Commenti (4)

Si hai ragione ma la macchina era in produzione e non potevo permettermi di tenerla tanto a lungo fuori linea. Ho fatto un clone e l’ho analizzata con calma. Mentre quella di produzione è rimasta sotto osservazione per tutto il tempo necessario.

Vito Pietrapertosa,

Io però in quello che hai fatto vedo un errore.
Avrei spento la porta dello switch e poi controllato la macchina con calma.
Un riavvio può essere molto deleterio se chi ha compromesso il sistema sapeva il fatto suo.

Toni,

Fantastico….eheheheheh, ho rivissuto l’ennesimo incubo….che tra l’altro non vivevo da diverse ore!!!
Vedo che è una cosa frequente, non solo mia questa!
Per fortuna che succede anche ad altri, ma soprattutto per fortuna che ci sono i mezzi per conoscere, sistemare ecc. e salvare le serate 🙂 (o le domeniche o le nottate)
Ciaoooo

Angelo Luciano,

Qualcosa del genere…
mentre facevo manutenzione ad un mio sito web mi stavano defacciando. 10 secondi di panico, poi ho cambiato la home page con una "manutenzione in corso" bloccato tutti gli accessi e aggiornato il cms.
Il giorno dopo sono andato su un sito dove i cracker attaccano al chiodo i loro successi e…. c’era lo screenshot di "manutenzione in corso" invece della prova del defacciamento 🙂
Un punto in meno per il crackerino. Quello che si dice "avere un c. come un nuraghe".

Domenico,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.