Analisi Sicurezza
Tipologia: Infrastruttura Linux su Amazon AWS
Servizio: Assistenza Sistemistica Linux
Cliente
Il Cliente si è rivolto a noi poiché uno dei suoi siti WordPress non era più raggiungibile.
Il sito era realizzato in WordPress ed era hostato su un hosting che permette la gestione tramite pannello Plesk.
Al momento della presa in carico del lavoro il sito era in WSOD (With Screen Of Death) a causa di un errore php generato da un file corrotto dall'attacco Japanese Keyword Hack subito pochi giorni prima.
Il Japanase Keyword Hack era stato sfruttato per creare pagine che rimandavano a siti in lingua giapponese che promuovevano prodotti illegali o contraffatti e per indicizzare queste pagine sul motore di ricerca Google.
Il sito non era dotato di nessuna misura di sicurezza per difendersi dalle botnet, né tantomeno era stata implementata la schedulazione dei backup messa a disposizione dall'hosting tramite il pannello Plesk.
Non si aveva quindi a disposizione alcun backup completo ma solo un vecchio backup parziale conservato dal Cliente. Il backup parziale conteneva la struttura parziale del sito con parte dei plugin e dei temi, ed il database MySQL completo.
Il sito è quindi stato ricostruito partendo dall'ultima versione del core di WordPress disponibile, dal backup parziale e dal dump sql bonificato del database MySQL esportato dall'hosting.
Durante la bonifica del database MySQL si è notata la presenza di account anomali riconducibili all'azienda che aveva realizzato il sito e che aveva configurato l'hosting, account dei quali il Cliente non era a conoscenza.
Si è quindi deciso di cambiare le password di tutti gli utenti del sito e si è proceduto alla bonifica della Search Console di Google per avviare la rimozione delle pagine, ormai 404, che erano state generate dal Japanese Keyword Hack.
Inaspettatamente il sito non era mai stato registrato nella Search Console di Google, si è quindi proceduto alla registrazione della sitemap del sito nella Search Console di Google, e si è avviata la procedura di rimozione dall'indice delle voci 404.
Dopo aver recuperato il sito si è proceduto alla realizzazione di un server LAMP in cloud in una region europea per essere GDPR Compliant.
Sul server è stato installato Debian e sono stati configurati in maniera rigida i permessi e i proprietari del filesystem.
Sul server sono state implementate misure di sicurezza attiva, misure di sicurezza passiva, strategia di backup incrementale per i siti hostati, e backup mensile con snapshot dell'intera macchina.
Sul server è stato configurato lo stack LAMP ed il server ftp vsftpd, entrambi configurati ed ottimizzati per hostare in sicurezza molteplici siti internet.
Sul server sono stati predisposti diversi sistemi di cache per ottimizzare le prestazioni dei siti internet hostati.
Sul server è configurato un relay smtp per inviare e generare diverse tipologie di email con domini e nomi utenti differenti.
Sul server è stata implementata una strategia di Monitoring/Alerting che invia tramite email informazioni su diversi eventi.
Alla fine, tutti i siti web del Cliente sono stati migrati sul suo nuovo server sicuro.