Finalmente rieccomi online. Per quanti di voi abbiano seguito la recente disavventura di questo blog su Twitter, posso dire che la durata complessiva del down ha superato i 3 giorni pieni. Il sito ha smesso di rispondere nel tardo pomeriggio di Sabato 29 Agosto e solo da ieri, 2 Settembre, ha ripreso il pieno delle sue funzioni. Ma cosa è successo?
Il mio attuale hosting ha subito un attacco DDoS nei giorni immediatamente precedenti al black out, che immagino sia servito per sondare un pò il terreno. Successivamente, ad un giorno di distanza, un cracker è riuscito a superare le protezioni del server, sicuramente grazie alla falla nel codice del sito di qualche cliente e mio “co-inquilino” sulla macchina e ad eseguire un suo script. Questo ha portato al danneggiamento di diversi files contenuti sul server e al suo conseguente blocco.
L’hacker entra da qualche sito in php (joomla, wordpress, phpbb, ecc…) sfruttando bug conosciuti, lo defaccia e poi prova a scalare sino alla root del server. Defacciato un sito web può accedere agli altri con permessi più alti rispetto a quelli delle cartelle, ma non accede al server. Defaccia tutti i siti e poi prova applicazioni generali in php più alte nel server (es. webmail in php, phpmyadmin)
Come tutti voi potrete immaginare, quando mi è stato comunicato cosa era accaduto, memore dell’esperienza horribilis di Excom, ho faticato a credere che ciò corrispondesse al vero. Mi sono immediatamente preoccupato per i miei files (il backup piu’ recente che avevo sul mio computer risale alla fine di Giugno), mentre lo stato del database non mi ha tolto neppure 10 minuti di sonno: ne ricevo infatti per posta elettronica una copia aggiornata ogni notte, grazie al plugin WordPress DB Backup.
Click per ingrandire
Dopo tre giorni di assoluto scoramento e disperazione, invece, la sorpresa! Il team di Solodomini, che ha purtroppo dovuto “ripristinare” (un termine politically correct per non dover dire “formattare” 🙂 ) l’intera macchina, mi comunicava via mail di avermi lasciato all’interno di una cartella privata del mio FTP il backup completo ed aggiornato di tutto il sito e di anche il database. Scaricato immediatamente l’archivio ho potuto constatare di quanto ciò corrispondesse a realtà: il backup conteneva tutte le più recenti modifiche eseguite sul codice del sito, nonchè tutte le immagini caricate. Curiosamente ne mancava una sola, che mi è bastato recuperare dal mio hard disk e ricaricare.
E la storia dell’hacker era vera, mi chiederete voi? Ebbene si. Il maligno figlio d’un trojan è riuscito (parlo per me, non conosco la situazione degli altri clienti nè chi loro siano) a caricare un suo index.php e quindi a defacciare il sito, che si è andato a copiare al posto di tutti gli index.php contenuti in tutte le sottocartelle della root. Non contento, il codice maligno si è attaccato pure a qualche vecchia immagine, che ho dovuto rimuovere a mano. Una veloce scansione con Antivir sull’archivio compresso, eseguita in locale sul mio PC, ha rilevato oltre 300 files “infettati”!
Ho quindo dovuto ricaricare di nuovo WordPress scaricandolo dal sito ufficiale (gli index.php nel mio backup non erano “buoni”). Stesso discorso per il template utilizzato e per alcuni plugin, i quali sono stati comunque installati per la maggior parte direttamente dall’interfaccia di amministrazione, proprio per evitare problemi.
Grazie al vecchio backup locale ho potuto verificare la “bontà” di tutte le immagini presenti, sostituendo quelle infette. Grazie al backup aggiornato ho ripristinato le modifiche al codice del mio template nel giro di pochi minuti. Il database, come detto, già l’avevo e sono bastati i pochi secondi necessari per l’import.
E così, finalmente, da ieri ho ripreso possesso di questo mio blog e sono di nuovo in grado di scrivere le mie cretinate, tediando in questo modo tutti i miei visitatori 😀
Vorrei ringraziare infine lo staff di Solodomini, per aver lavorato incessantemente per ripristinare il corretto funzionamento dei sistemi e soprattutto per avermi sinceramente stupito facendomi trovare i backup aggiornatissimi di tutto quanto era online prima dell’attacco. Non vi nascondo che alla vista di quei due archivi sono passato immediatamente dalla tristezza mista a disperazione all’euforia più totale. Poco importa che ci fossero nel mezzo anche files infetti e quindi destinati a morte certa; ciò che conta è che quel backup (importante: non previsto da alcuna voce nel contratto che ci lega) mi ha letteralmente fatto risparmiare giorni e giorni di lavoro.
Fa piacere leggere di storie che una volta ogni tanto si concludono con il minimo dei danni 😀
Che dire… in termini di hosting hai una sfortuna quasi impareggiabile 🙂
Bentornato online!
Beh dai infine t’è andata bene!
Come direbbe qualcuno: benessere!