Assistenza Linux server, setup, configurazione, gestione
Notizie su Linux server, sicurezza informatica, reti e web
Notizie su server Linux, sicurezza informatica, reti. News su Linux server Ubuntu, Debian, Red Hat, CentOS, Almalinux, Rocky Linux, Slackware.
Le notizie linux che potete leggere riguardano aggiornamenti dei pacchetti, distribuzioni utilizzate in ambito server, problemi di configurazione e di sicurezza dei server che sopravvengono ogni giorno.
La sezione non e’ esaustiva e gli argomenti trattati non sono sufficienti a garantire un adeguato livello di sicurezza dei server. Si consiglia pertanto di approfondire e curare autonomamente lo stato di protezione dei server. Affidatevi a professionisti di servizi di Assistenza sistemistica dedicati a tale scopo.
Le notizie sulla sicurezza e gli altri argomenti trattati sono considerate di particolare interesse in ambito server Linux aziendali. Le notizie sono scelte per il numero dei sistemi colpiti, per il meccanismo di funzionamento, la metodologia di attacco, l’originalita’ o per altri motivi che saranno di volta in volta descritti. Si parlera’ di Linux per server: Debian, Red Hat, CentOS, Ubuntu, Almalinux, Rocky Linux, Suse Linux, zero-days exploit, firewall, rootkit, crittografia, firme digitali, attacchi MITM, Poisoning, spoofing, SQL injection, vulnerabilities, etc… Le notizie sulla Sicurezza informatica da noi pubblicate le puoi trovare anche nei post di Sicurezzarete su Facebook e su Google News
Questo sito non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità. Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001
L’Italia al primo posto in Europa per attacchi ransomware
Uno studio recente del 2021 di Gartner ha analizzato migliaia di aziende per valutare l’effetto degli attacchi ransomware sulle aziende. Il ransomware colpisce le medie imprese con il 90% delle aziende attaccate che fattura meno di 1 Milione di dollari annui e l’82% con meno di 1000 dipendenti.
Il vettore principale di attacco e’ attraverso email e phishing e la compromissione di account email aziendali. Una importante porzione del 21% degli attacchi avviene attraverso l’attacco remoto ai server e alle loro vulnerabilita’. Il 9% degli attacchi è passato attraverso personale esterno, altrettanto è giunto attraverso istanze cloud mal configurate e il 7% attraverso programmi di controllo remoto dei desktop.
Il 76% degli attacchi è stato eseguito fuori dall’orario di lavoro dell’azienda vittima.
Il 34% delle aziende attaccate ha pagato il riscatto, 1 azienda ogni 3! Gli importi pagati sono importanti e incidono per il 1-1,5% del profitto aziendale. Il pagamento medio del riscatto infatti corrisponde a 322.000 Dollari. Inoltre la media dei dati recuperati dopo il pagamento del riscatto e’ il 65% e la media dell’interruzione del servizio e’ di 20 giorni.
Uno studio del produttore Veeam, ha mostrato che il 96% degli attacchi mira a colpire i backup. Solo il 14% delle aziende ha recuperato i dati senza pagare un riscatto. Il 28% delle aziende che ha pagato non ha comunque recuperato i dati.
Come sta andando nel 2024 a proposito degli attacchi ransomware?
Inoltre dati recentissimi riportati nel “terzo report minaccia cyber” di ACN afferma che a luglio 2024 si rileva un aumento significativo del numero di incidenti che ha visto particolarmente impattato il settore sanitario, insieme a quello della PA centrale e delle telecomunicazioni.
Il terzo numero dell’Operational Summary del Computer Security Incident Response Team CSIRT Italia dell’ACN (*), riporta anche un aumento del 2% degli eventi cyber individuati che salgono a 171 rispetto ai 168 di giugno.
Cresce anche la minaccia ransomware. L’Italia si posizione al 3° posto tra i paesi più colpiti al mondo da ransomware a luglio 2024 mentre mantiene il 1° posto in UE. Seguono, in Europa, Germania e Spagna. Paese, quest’ultimo, che si classifica al 1° posto europeo per attacchi DDoS, seguito da Polonia e Repubblica Ceca, invece l’Italia non è stata oggetto di rivendicazioni DDoS a luglio 2024. I gruppi più attivi sono stati “NoName057” e Cyber Army of Russia Reborn (CARR).
Il numero delle nuove vulnerabilità (CVE) pubblicate è aumento del +26% rispetto al mese precedente, così come sono stati 57 gli alert di CSIRT Italia sulle vulnerabilità di software e soluzioni IT da mettere in sicurezza.
Come proteggersi dai ransomware? Per evitare di cadere vittime dei ransomware occorre rivolgersi ad esperti di sicurezza informatica e sistemistica e adottare un approccio multilaterale. Si deve infatti agire su molteplici aspetti legati alla sicurezza, sulle infrastrutture, sui software e soprattutto sul personale e la sua preparazione.
Nei giorni scorsi numerose vulnerabilità che mettono a rischio i sistemi informatici
Vulnerabilità in OpenSSH
Questa vulnerabilità è sfruttabile da remoto e garantisce l’accesso root non autenticato. Gli è stato assegnato l’identificatore CVE-2024-6387 e denominato regreSSHion.
Per ulteriori informazioni, vedere: https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt https://www.cve.org/CVERecord?id=CVE-2024-6387
Vulnerabilità in Apache
Inoltre tre aggiornamenti di Apache a distanza di pochi giorni. Il primo che affligge le versioni dalla 2.4.0 fino alla 2.4.59. Il server HTTP Apache può subire un arresto anomalo con conseguente Denial of Service in mod_proxy tramite una richiesta dannosa (CVE-2024-38477)
Poi con il rilascio della versione 2.4.60 e poi 2.4.61 Questo aggiornamento serve a correggere una regressione e a prendere nota dei problemi di sicurezza che non erano elencati nel file CHANGES incluso nel codice sorgente. Risolto un problema di regressione in cui un file di configurazione che utilizzava AddType anziché AddHandler poteva causare il download di file PHP grezzi anziché l’elaborazione.
Prima con il rilascio della versione 2.4.61 per sistemare la regressione introdotta con il precedente rilascio Per ulteriori informazioni, vedere: https://downloads.apache.org/httpd/CHANGES_2.4 https://www.cve.org/CVERecord?id=CVE-2024-39884
Fine supporto CentOS 7 dal 30 giugno 2024
Se aggiungiamo che le macchine che installano CentOS 7 non ricevono più aggiornamenti di sicurezza (EOL End Of Life) dal 30 giugno scorso, sicuramente i sistemisti sono impegnati in una intensa attività di migrazione e aggiornamento dei sistemi.
Alcuni giorni fa SEC Consult ha pubblicato un attacco di spoofing di posta elettronica che coinvolge una composizione di servizi di posta elettronica con differenze specifiche nel modo in cui gestiscono le terminazioni di riga diverse da . (punto)
Dettagli L’attacco coinvolge una COMPOSIZIONE di due servizi di posta elettronica con differenze specifiche nel modo in cui gestiscono le terminazioni di riga diverse da :
Un servizio di posta elettronica A che non riconosce le terminazioni di riga con formato errato in SMTP come in . in un messaggio di posta elettronica inviato da un utente malintenzionato autenticato a un destinatario presso il servizio di posta elettronica B e che propaga testualmente tali terminazioni di riga con formato errato quando inoltra il messaggio a:
Un diverso servizio di posta elettronica B che supporta terminazioni di riga non corrette in SMTP come in .. Quando questo è seguito da comandi SMTP MAIL/RCPT/DATA “contrabbandati” e dall’intestazione del messaggio più il testo del corpo, il servizio di posta elettronica B viene indotto con l’inganno a ricevere due messaggi di posta elettronica: un messaggio con il contenuto prima di . e un messaggio con l’intestazione “di contrabbando” più il testo del corpo dopo i comandi SMTP “di contrabbando”. Tutto questo quando il servizio di posta A invia un solo messaggio.
Postfix è un esempio del servizio di posta elettronica B. Outlook.com di Microsoft è stato un esempio del servizio di posta elettronica A.
Impatto L’aggressore autenticato può utilizzare i comandi SMTP MAIL/RCPT/DATA “contrabbandati” e l’intestazione più il testo del corpo, per falsificare un messaggio di posta elettronica da qualsiasi indirizzo MAIL FROM il cui dominio è ospitato anche sul servizio di posta elettronica A, a qualsiasi indirizzo RCPT TO il cui dominio è ospitato anche presso il servizio di posta elettronica B.
Il messaggio di posta elettronica contraffatto supererà i controlli DMARC basati su SPF presso il servizio di posta elettronica B, perché il messaggio contraffatto ha un indirizzo MAIL FROM il cui dominio è ospitato presso il servizio di posta elettronica A e perché il messaggio è stato ricevuto da un indirizzo IP per il servizio di posta elettronica A.
Quali versione di php è in uso nei vostri server e verifica della sicurezza
Fine supporto php 7.4 ovvero EOL (End Of Life)
Dal 28 Novembre 2022 e’ terminato il supporto di sicurezza al PHP 7.4 (nella sua ultima release 7.4.33) (fonte Unsupported Branches php.net).
Versioni PHP in uso
Nonostante sia finito il supporto a php 7.4 da mesi, le statistiche di rilevamento, a maggio 2023 (fonte W3techs) indicano che oltre l’88% dei server usa versioni non piu’ supportate per la sicurezza, ovvero PHP dal 7.4 a versioni ancora più obsolete. Solo una piccola percentuale ha adottato le nuove versioni tra cui la 8.0 che ricevera’ supporto fino a Novembre 2023.
Queste le percentuali di uso delle versioni PHP
Versione PHP 8 11.9%
Versione PHP 7 66.4%
Versione PHP 5 21.5%
Versione PHP 4 0.2%
Tra gli utenti di php 8 troviamo la maggioranza degli utenti che usano una versione che scadra’ a breve.
Versione PHP 8.0 54.6%
Version PHP 8.1 39.9%
Version PHP 8.2 5.5%
Version PHP 8.4 <0.1%
Nel frattempo, dal 28 Novembre scorso, sono stati scoperti per il PHP 8 numerosi nuovi problemi di sicurezza (fonte changelog php.net) che molto probabilmente affliggono anche le versioni precedenti (PHP 7.4, 7.3, 7.2, 7.0, etc.). Alcuni di questi problemi di sicurezza sono stati classificati secondo il sistema CVSS (versione 3) anche come gravi.
Problemi di sicurezza PHP
Ecco alcuni esempi di problemi di sicurezza riscontrati nelle ultime versioni del php.
SAPI: DOS vulnerability when parsing multipart request body. (CVE-2023-0662) PDO/SQLite: PDO::quote() may return unquoted string. (CVE-2022-31631) GD: bug #81739: OOB read due to insufficient input validation in imageloadfont(). (CVE-2022-31630) Hash: bug #81738: buffer overflow in hash_update() on long parameter. (CVE-2022-37454) Phar: bug #81726: phar wrapper: DOS when using quine gzip file. (CVE-2022-31628) Mysqlnd: bug #81719: mysqlnd/pdo password buffer overflow. (CVE-2022-31626) Pgsql: bug #81720: Uninitialized array in pg_query_params(). (CVE-2022-31625) XML: bug #79971 special character is breaking the path in xml function. (CVE-2021-21707) FPM: bug #81026 PHP-FPM oob R/W in root process leading to privilege escalation (CVE-2021-21703).
Oltre a beneficiare dei fix sulla sicurezza, disporre di una versione aggiornata del php offre, in genere, dei miglioramenti nelle prestazioni del sito web. In alcuni casi si possono ottenere riduzioni nei tempi di risposta rilevanti, anche superiori al 100% di richieste al secondo in più a parità di risorse. Dal sito di Kinsta si possono rilevare i risultati di test eseguiti sulle prestazioni di WordPress con diverse versioni di PHP.
Se non avete ancora applicato i fix di sicurezza sui vostri sistemi e’ urgente aggiornare PHP o affidare a sistemisti esperti le procedure di aggiornamento dei server web. SicurezzaRete offre assistenza per eseguire l’aggiornamento del php a versioni sicure e supportate sui vostri sistemi.
La fine del supporto, o EOL (End-Of-Life), per CentOS 7 è fissata al 30 giugno 2024
CentOS 7 è installato oggi su milioni di server. Purtroppo dopo giugno 2024 non ci saranno più aggiornamenti di sicurezza. Questo potrebbe essere un problema per numerosi server in produzione.
Cosa cambia con CentOS 7?
Nel dicembre 2020 Red Hat Software, la società che ha sponsorizzato il progetto della comunità CentOS, ha annunciato che non produrrà più versioni stabili del progetto CentOS, il clone libero della versione di Red Hat Enterprise Linux (RHEL). Red Hat ora supporta solo CentOS Stream, che è una versione di sviluppo di RHEL.
La versione principale di CentOS 8 doveva essere l’ultima versione stabile della comunità del clone RHEL e Red Hat ha anticipato la sua data di fine vita a dicembre 2021. Questo significa che CentOS 8 ha già raggiunto la fine del supporto. Il supporto di CentOS 7 continua fino a giugno 2024, ma non ci sarà una successiva versione stabile di CentOS a cui passare in seguito.
Che fare quando cessa il supporto a CentOS 7?
Rimane poco più di 1 anno per migrare, ma il tempo corre. Normalmente si dovrebbe migrere a CentOS 8 entro il periodo di tempo disponibile, ovvero prima di luglio 2024. Ma CentOS 8 ora è già EOL ovvero End-Of-Life, non è più supportato, quindi il passaggio a CentOS 8 non è un’opzione e non ci sarà neppure una versione di CentOS 9.
Per la maggior parte degli utenti aziendali e dei server in produzione, CentOS Stream non è un’opzione. La sua natura “rolling” significa che non è una copia esatta della versione RHEL corrispondente, quindi la compatibilità delle applicazioni può facilmente interrompersi o nuovi bugs essere introdotti. Devi passare a un’altra distribuzione Linux o trovare un modo per estendere il supporto di CentOS 7.
Trovare un’alternativa significa testare tutti i tuoi workloads su una distribuzione diversa, e questa è un’operazione a lungo termine che richiede una pianificazione approfondita.
Devo migrare CentOS 7?
Per avere un sistema aggiornato e sicuro devi migrare CentOS7 visto che non ci saranno aggiornamenti di sicurezza dopo il 30 giugno 2024. Puoi migrare ad Almalinux 8 o Oracle Linux 8 oppure Rocky Linux 8.
Negli anni scorsi non era possibile migrare i sistemi operativi basati su RHEL, tra cui CentOS, da una Major release al quella successiva. Visti gli ultimi sviluppi imposti dalla casa produttrice di questo OS si sono affacciate nuovi progetti che oggi permettono la migrazione.
Come posso migrare da CentOS 7 ad un nuovo sistema operativo aggiornato?
Il progetto piu’ importante che lo permette si chiama ELevate. La migrazione può essere eseguita “sul posto” ovvero conservando dati e configurazioni. In altre parole le applicazioni installate e le impostazioni rimarranno inalterate. In ogni caso è obbligatorio eseguire un completo backup di dati e del sistema prima di procedere all’aggiornamento.
Alcune note importanti: 1) e’ obbligatorio eseguire un backup di sistema e dati prima di procedere 2) l’upgrade richiedera’ di eseguire dei riavvi di sistema 3) Poichè ELevate e’ un tool ancora in fase di test si consiglia, prima di procedere sui server in produzione, di eseguire dei test interni su sistemi di prova.
GLI AUTORI DEL PRESENTE ARTICOLO DECLINANO OGNI RESPONSABILITA’ DERIVANTE DALL’ USO DI QUANTO DESCRITTO. LA MIGRAZIONE DEL SISTEMA OPERATIVO E’ UNA OPERAZIONE CHE PRESENTA POTENZIALI RISCHI E LA POSSIBILE PERDITA DI DATI O DI INTERRUZIONE DEL FUNZIONAMENTO DEI SERVIZI. QUESTO POICHE’ OGNI INSTALLAZIONE E CONFIGURAZIONE SOFTWARE ED HARDWARE E’ SPECIFICA. SE NON SI DESIDERA CORRERE I RISCHI DI COMPIERE UNA OPERAZIONE POTENZIALMENTE DANNOSA E/O BLOCCANTE SI CONSIGLIA DI FAR EFFETTUARE LA MIGRAZIONE DI CENTOS 7 DA SISTEMISTI ESPERTI. Il nostro suggerimento è di affidarti a sicurezzarete.com
La procedura per migrare CentOS,
Di seguito saranno descritti i passa da eseguire per passare da CentOS 7 a un sistema derivato da RHEL8 come AlmaLinux, CentOS Stream, Oracle e Rocky Linux. Useremo l’utente root.
1) aggiornare CentOS 7 Come prima cosa occorre avere un sistema con CentOS 7 installato e funzionante. Successivamente, se già non lo fosse, occorre aggiornare all’ultima versione il sistema CentOS 7 e riavviare il server, cosi’ da caricare il nuovo kernel.
yum update -y reboot
2) installare ELevate Ora si deve installare il tool di aggiornamento scaricando il software necessario
Nel nostro caso migreremo un sistema CentOS 7 ad Almalinux 8 usando il comando:
yum install -y leapp-upgrade leapp-data-almalinux
Avviamo ora un check di pre-upgrade che creera’ un file di report utile a capire eventuali problemi e soluzioni da adottare per completare la procedura.
leapp preupgrade
Il file generato è: /var/log/leapp/leapp-report.txt
In questa fase il sistema non verra’ ancora modificato.
CONSIGLI: In alcune configurazioni, Leapp genera /var/log/leapp/answerfile con domande vero/falso. L’utilità Leapp richiede risposte a tutte queste domande per poter procedere con l’aggiornamento.
Le correzioni dal file /var/log/leapp/leapp-report.txt sono obbligatorie, ma puoi anche rivedere le altre se necessario.
Avviso: Il controllo di pre-aggiornamento potrebbe avere esito negativo poiché CentOS 7 in installazione minima non soddisfa tutti i requisiti per la migrazione.
rmmod pata_acpi echo PermitRootLogin yes | sudo tee -a /etc/ssh/sshd_config leapp answer –section remove_pam_pkcs11_module_check.confirm=True
Controlla la pagina https://wiki.almalinux.org/elevate/ELevate-frequent-issues per problemi noti e frequenti e istruzioni per risolverli.
Avvia l’aggiornamento. Ti verrà offerto di riavviare il sistema al termine di questo processo.
leapp upgrade reboot
Apparirà una nuova voce in GRUB chiamata ELEvate-Upgrade-Initramfs. Il sistema verrà avviato automaticamente al suo interno. Guarda come va il processo di aggiornamento nella console.
Dopo il riavvio, accedi al sistema e controlla come è andata la migrazione. Verifica che il sistema operativo corrente sia quello che ti serve.
Velocità del sito di e-commerce come misurare e migliorare Prestashop, Woocommerce, Magento e WordPress. Analisi e fix dei difetti.
Le prestazioni del web sono un aspetto ormai fondamentale del buon successo di un sito di e-commerce. Gli aspetti che vengono coinvolti relativi alle prestazioni si un sito web o di e-commerce sono molteplici ma due i principali:
la percezione di servizio funzionale e affidabile rilevato dagli utenti che decidono pertanto di procedere all’acquisto
Da studi eseguiti sull’uso dei siti di e-commerce si è constatato che gli utenti non completano le transazioni se queste si bloccano o sono lente.
l’effetto diretto sul posizionamento nei motori di ricerca
Gli esperti di web usability hanno trasmesso agli ingegneri degli algoritmi di posizionamento la direttiva volta a favorire i siti web aventi massima reattività e velocità di funzionamento. Pertanto oggi la rapidità di caricamento dei siti web e di e-commerce è un parametro di fondamentale importanza per il buon posizionamento nei motori di ricerca.
Migliora il rendimento del sito di e-commerce all’aumentare della velocità?
Ci sono documentabili segnali che se un sito di e-commerce migliora le sue prestazioni si ottiene come conseguenza un miglior posizionamento nei risultati di ricerca. Da questo ne consegue una maggiore visibilità e anche un maggior numero di visitatori. Queste visite si possono poi convertire in acquisti e, pertanto profitti aziendali.
Segue un esempio reale di un lavoro svolto da Sicurezzarete. Nella figura riportata sotto, al punto A è indicato il momento in cui è stata eseguita una ottimizzazione della velocità di caricamento del sito di e-commerce. Dal punto A in poi si può vedere come siano migliorati il posizionamento, le impressioni totali e i click.
Miglioramento seo e-commerce conseguente a performance tuning sito web e server. Evidente la relazione tra prestazioni e visite.
Misurare le prestazioni del proprio sito e-commerce
Molti sono gli strumenti che si possono utilizzare per la misurazione delle prestazioni dei siti web. Sicuramente uno degli strumenti fondamentali è quello messo a disposizione da Google che è anche il dominatore assoluto tra i motori di ricerca. Deve pertanto essere considerato come obiettivo principale in una campagna di miglioramento nel posizionamento SEO (Search Engine Optimization) che agisce sulle prestazioni del sito.
Qui troviamo la console di Google che ci permette di misurare importanti parametri del nostro e-commerce: https://pagespeed.web.dev
Segnali web essenziali
Una volta avviata l’analisi offre varie parametri da valutare. Uno che oggi è fondamentale è la valutazione dei segnali web essenziali
Significato dei segnali web essenziali
Largest Contentful Paint, LCP
Rappresenta il tempo necessario per visualizzare nel browser il contenuto più grande in termini di dimensioni, sia esso una immagine o un blocco di testo. Quali sono le cause di uno scarso valore di LCP?
Tempi di risposta del server lenti
JavaScript e CSS che bloccano il rendering
Tempi di caricamento delle risorse
Rendering lato client
First Input Dalay, FID
Rappresenta il tempo che passa dal momento in cui una pagina viene richiesta e il momento in cui può accettare una interazione con l’utente. Questo valore dovrebbe rimanere inferiore a 100 millisecondi (0,1 secondi). Come migliorare il valore di FID?
Riduci il tempo di esecuzione di JavaScript
Riduci al minimo il lavoro del thread principale (lato client)
Mantenere bassi i conteggi delle richieste e
Ridurre le dimensioni degli oggetti trasferiti
Cumulative Layout Shift, CLS
Anche questo aspetto è legato al lavoro che deve compiere il browser per riposizionare oggetti nella finestra di visualizzazione a seguito del caricamento asincrono dal server.
Per mantenere minimo questo valore e completare il rendering della pagina, si deve pertanto tentare di
Assegnare attributi di dimensione nelle immagini e negli elementi video,
Non inserire mai contenuto sopra il contenuto esistente, tranne in risposta a un’interazione dell’utente
Altri parametri con non fanno parte dei “Core Web Vitals” (https://web.dev/vitals/) di Google ma che risultano di grande importanza sono:
First Content Paint, FCP
E’ il tempo che intercorre tra l’inizio del caricamento di una pagina e l’inizio della visualizzazione della stessa. Per essere accettabile questo parametro, il valore deve mantenersi al di sotto di 1,8 secondi. I tempi migliori pero’ sono considerati quelli al di sotto di 0,3 secondi.
In questo caso molti sono gli interventi che si possono fare per migliorare questo parametro. I principali sono:
Eliminare le risorse che bloccano il rendering
Minimizzare CSS Rimuovi i CSS inutilizzati
Rimuovere JavaScript inutilizzato
Usare la preconnessione ai server
Ridurre i tempi di risposta del server (TTFB)
Evitare i reindirizzamenti di più pagine
Precaricare le richieste di chiavi
Evitare enormi carichi utili di rete
Fornire risorse statiche con una cache efficiente
Evitare una dimensione DOM eccessiva, ovvero una struttura della pagina troppo complessa.
Ridurre al minimo la profondità delle richieste critiche
Assicurati che il testo rimanga visibile durante il caricamento del webfont
Mantieni bassi i conteggi delle richieste e le dimensioni dei trasferimenti ridotte
Interaction to Next Paint, INP
E’ un parametro che misura la responsività del sito. Misura il tempo che impiega il browser a visualizzare un contenuto a seguito di una interazione con la pagina. Questo parametro tenta di valutare complessivamente l’intera pagina e tutte le interazioni possibili. Un buon valore indica che questo valore deve stare sotto i 200 millisecondi (0,2 secondi).
Time to First Byte, TTFB
Questo parametro può variare molto e indica il tempo necessario a ricevere il “Primo Byte” di risposta dal server. E’ pertanto un parametro che è molto influenzato dal server da cui viene erogato il sito di e-commerce. Un valore adeguato di TTFB non deve superare i 0,8 secondi. In genere le cause di un elevato TTFB sono dovute a:
Servizi di hosting con infrastrutture inadeguate per gestire carichi di traffico elevati
Server Web con memoria insufficiente che possono portare a thrashing
Tabelle di database non ottimizzate
Configurazione del server database non ottimale
Sistemi con caching non correttamente configurati o con dimensionamento insufficiente
Le soluzioni adottabili per migliorare il TTFB sono:
uso di server veloci non condivisi e adeguati al carico di lavoro
Come proteggere WordPress da continui tentativi di accesso non autorizzato?
State usando un server web per ospitare una o più installazioni del famoso e diffuso CMS WordPress? Allora quasi di sicuro riceverete migliaia di tentativi di accesso al pannello amministrativo dei siti realizzati con tale CMS. Si tratta appunto di attacchi “brute-force”, per tentativi. Se le password utilizzate sono robuste probabilmente gli accessi saranno bloccati. Purtroppo pero’, a volte, tali attacchi vanno a buon fine e, in genere gli accessi illegali sono usati per rubare dati sensibili, per installare malware nel sito compromesso o per inviare spam sfruttando le funzionalità del server. Per questo è necessario proteggere WordPress da questi tentativi.
Come sappiamo di essere vittime di questi attacchi brute-force rivolti a WordPress?
Possiamo controllare nei log e noteremo la ripetizione di righe di questo tipo:
Come si può notare, gli IP da cui viene eseguito il tentativo di accesso sono ripetuti. Questo è un chiaro segno che l’accesso non è avvenuto e che si sta verificando una serie di tentativi al fine di individuare una password corretta. Normalmente vengono utilizzati vocabolari contenti migliaia di password tra le più diffuse oppure vocabolari costruiti analizzando dati relativi alla vittima (sito web, pagine social, informazioni personali, etc.)
Quasi certamente sul server avrete gia’ installato un firewall ma questo non previene i tentativi e non può bloccare l’attacco.
Come bloccare l’attacco brute-force e proteggere WordPress?
Se utilizzate come firewall il diffuso CSF (ConfigServer Security & Firewall), spesso si trova installato nelle installazioni cPanel. Questo firewall dispone di un componente, LFD, che verifica i tentativi di login al diversi servizi. Può inoltre essere customizzato per integrare nuove regole di riconoscimento. Possiamo pertanto personalizzare il file regex.custom.pm che si trova nella cartella di installazione del firewall ed aggiungere le seguenti righe.
# WP-LOGINS if (($globlogs{CUSTOM1_LOG}{$lgfile}) and ($line =~ /(\S+).] “\w(?:GET|POST) \/wp-login.php.*” /)) { return (“WP LOGIN BRUTE FORCE”,$1,”WPLOGIN_FAILURE”,”6″,”80,443,21,22,25,23″,”900″); }
Dovremo inoltre indicare che tra i log da analizzare ci sono anche quelli del web server (apache), modificando il parametro CUSTOM1_LOG=….
A questo punto, dopo aver riavviato firewall e demone LFD, se la pagina di login sarà richiamata più di 6 volte in un breve lasso di tempo, il firewall bloccherà per 900 secondi gli accessi alle porte usate dal web server ed anche ad altri servizi (ssh, smtp, ftp, etc).
Come verifico se sta funzionando la protezione di WordPress dagli attacchi?
Nel log del sistema di controllo degli accessi, LFD, troveremo traccia dei tentativi di accesso bloccati etichettati con il testo “WP LOGIN BRUTE FORCE”. Le linee si presenteranno nel seguente modo:
Sep 26 07:40:32 host100 lfd[29428]: (WPLOGIN_FAILURE) WP LOGIN BRUTE FORCE 198.98.60.32 (US/United States/ns1.boltflare.com): 6 in the last 3600 secs – Blocked in csf for 900 secs [LF_CUSTOMTRIGGER] Sep 26 07:41:18 host100 lfd[29689]: (WPLOGIN_FAILURE) WP LOGIN BRUTE FORCE 188.166.236.35 (SG/Singapore/-): 6 in the last 3600 secs – Blocked in csf for 900 secs [LF_CUSTOMTRIGGER] Sep 26 07:49:41 host100 lfd[32366]: (WPLOGIN_FAILURE) WP LOGIN BRUTE FORCE 188.166.183.39 (SG/Singapore/agvn.net-alpine): 6 in the last 3600 secs – Blocked in csf for 900 secs [LF_CUSTOMTRIGGER]
Questo è uno dei vari modi che abbiamo per proteggere WordPress da attacchi brute-force, in particolare è efficace se non possiamo adottare altre soluzioni più restrittive.
Vuoi attivare la protezione di WordPress ma preferisci che questo venga fatto da sistemisti esperti? Puoi richiedere il supporto di Sicurezzarete.
Sono gravi le quattro vulnerabilità di Exchangecomunicate da Microsoft, molte sono infatti le aziende che sono state attaccate e al quale sono stati rubati i dati contenuti nelle caselle di posta elettronica. Dati preziosi di aziende ma anche di università, centri di ricerca ed enti non governativi. Le installazioni coinvolte sono molte: Exchange Server 2010, 2013, 2016 ed Exchange Server 2019, molto diffuse anche in Italia.
Aggiornamento e patch di Exchange
Microsoft ha promesso che ci sara’ un aggiornamento, ma seguendo il ciclo tradizionale di patch (non vi saranno update, quindi, ancora almeno per qualche giorno). Riportiamo le descrizioni ali delle quattro vulnerabilità:
UPDATE: CVE-2022-2327 Microsoft Exchange Server Remote Code Execution Vulnerability (Ulteriore vulnerabilita’ di grado CVSS SCORE 8.8 !)
Attraverso un attacco da remoto gli hacker sono grado di prendere il controllo del server e di sottrarre i dati contenuti nel server della posta elettronica e i messaggi archiviati.
Secondo alcuni centri di ricerca l’attacco non si limita alle sole azienda negli stati uniti ma sta avvenedo a scala globale, pertanto è altamente probabile che aziende ed utenti in Italia possano essere state vittime di questo attacco e furto di informazioni.
Soluzioni
Purtroppo finchè il server non viene patchato o sostituito con altra installazione il problema sussiste e il servizio puo’ essere attaccato.
Chi volesse non avere piu’ costi e rischi di una installazione Exchange per la gestione della posta elettronica puo’ sostituire l’installazione con il nostro sistema integrato SRmail, un sistema basato su Linux, performante e sicuro.
Comunque vengano chiamati, Email Aziendale, Posta Elettronica Aziendale, Piani Email Aziendali, si tratta sempre dei servizi più usati dalle aziende per lo scambio dei messaggi con i propri clienti e fornitori: posta elettronica.
Qui segnaliamo un caso reale di una azienda con diverse sedi in Italia che ha in uso 700 mailbox aziendali sul proprio dominio. Il reparto IT ha deciso di rinnovare il proprio servizio e il fornitore e per questo ci ha chiesto di mettere a confronto quanto disponibile sul mercato. Ecco cosa e’ emerso.
Stime eseguite su 700 Email account (*):
Gmail: 3.996,72 Euro/mese IVA COMPRESA (Caselle MAX 30 GB)
OVH: 2.553,46 Euro/mese IVA COMPRESA (Caselle MAX 50 GB)
Aruba: 1.779 Euro/mese IVA COMPRESA (Caselle MAX 25 GB)
Sicurezzarete: 470,00 Euro/mese IVA COMPRESA (Caselle MAX 30 GB) Server mail dedicato, antivirus, antispam, firewall, pannello amministrativo, certificato ssl per tutti i protocolli (web, IMAP, SMTP), accesso tramite i protocolli POP3, IMAP e webmail, mailbox fino a 30 GB. Server fully managed ovvero gestito da Sicurezzarete (non occorre ulteriore assistenza). Durata minima contratto 6 mesi. Stesso costo fino a 1000 Account.
In sostanza l’adozione di un server mail gestito (managed) per la gestione della email aziendale permette di avere un risparmio del 73% rispetto al servizio cloud piu’ economico e di avere a disposizione servizi migliori (30 GB di storage contro 25 GB spazio mailbox). Se poi il confronto dei servizi di email aziendale viene fatto con provider come Gmail o OVH il risparmio sale ad oltre l’ 88%. Se il numero di mailbox fosse maggiore di quello usato nel nostro confronto (700 mailbox aziendali), il risparmio risulterebbe ancora superiore.
Con Sicurezzarete e’ sufficiente richiedere l’attivazione del Server Email Aziendale e saranno fornite le credenziali di accesso al nuovo server per attivare autonomamente e gestire tutte le caselle email necessarie.
(*) I calcoli sono stati eseguiti alla data del 27 ottobre 2018, aggiornati al 16 Gennaio 2021 e sono stati considerati i costi dei servizi piu’ possibile simili tra loro visto che alcuni fornitori scorporano in varie componenti i servizi acquistabili (estensione spazio di archiviazione, servizio imap, filtro antispam, blocco antivirus). Di ciascun fornitore viene riportato il link al listino usato sul relativo nome.