hosting del sito sospeso per spam

 l'attività di spam e il blocco del sitoNon è certo una novità la pervasività dello spam e la perdita di tempo che ne deriva per ciascuno di noi; paradossalmente, però, molti si lamentano e si adirano quando il loro provider provvede a sospendere il loro sito perché lo stesso sta inviando spam al mondo intero.

 

Come si individua lo spam?

Una piccola premessa ci vuole. I più pensano che gli spammer siano individuati per mezzo delle segnalazioni degli utenti ai vari provider, o tramite filtri installati dai vari provider sulle caselle di posta. Ma anche in quest'ultimo caso è poi necessario che sia poi il provider a segnalare il presunto spammer.

Ma a chi si segnala lo spammer? Vi sono società che si occupano di questo, ricevono segnalazioni e forniscono ai loro clienti l'elenco delle macchine note per inviare spam; quando una macchina è in una di queste liste nessun altro server accetterà più posta da esse.

Gli spammer hanno molti modi di recuperare le mail, alcuni leciti, altri meno quali la scansione dei siti alla ricerca di indirizzi e-mail. Non sempre le mail che si trovano nei siti, però, appartengono sempre a persone o società da usare come 'bersagli'. Le aziende che si occupano di tecniche antispam lasciano qua e là nel web delle mail 'trappola', queste ultime servono solo a memorizzare i dati di chi tenta di inviare loro spam, ovviamente parliamo dell'individuare macchine e non persone.

 

Il provider ha sospeso il sito per spam...

Vediamo la cosa dalla parte del provider. Molto spesso, nei vari fora, si considera la cosa dalla parte degli utenti, ma, avendo io lavorato per anni anche dall'altra parte della barricata mi piacerebbe spiegare qui la visione del provider.

Nel momento in cui il sito comincia ad inviare mail di spam, aumenta l'attività dello stesso ed il traffico generato, ma nessuno di questi elementi rappresenta quasi mai un problema, dato che, a livello tecnico, non vi è alcuna differenza tra traffico legittimo e non.

Allora perché il provider sospende l'hosting per spam? La risposta è nel paragrafo precedente: se una macchina è inserita nella lista dei sistemi usati per inviare spam, nessun sito su quella macchina potrà più inviare posta, sia essa legittima o meno.

I servers che riceveranno la comunicazione del comportamento scorretto di tale macchina, rifiuteranno qualsiasi connessione alla macchina in questione, impedendo qualsiasi attività postale alla stessa. Notate che viene proprio bloccata la connessione, quindi nessuna mail potrà più essere inoltrata.

Se il server che ospita il sito che ha subito l'hack è di proprietà di un singolo cliente, allora potrebbe anche essere un po' un problema del singolo cliente, anche se poi, invero, l'ip oggetto del banning è 'proprietà', mi si passi il termine, del provider. Ma se la macchina in questione server all'hosting condiviso e ospita decine di siti? o peggio ancora se dietro quel singolo IP vi è un cluster con centinaia di siti?

L'inserimento di un singolo IP specifico della macchina nella black list degli spammer comporta il blocco delle funzioni di posta elettronica di tutti i siti presenti su quella macchina.

Rimozione dello spam dal sito sospeso

Una volta che il server è in black list le procedure di rimozione se non complesse, sono per lo meno lunghe, ed in tale periodo tutti i clienti iniziano a tempestare l'assistenza di telefonate.

Purtroppo non esiste un pulsante da premere per compiere l'operazione, ma è necessario mettere in atto una lunga serie di operazioni, e nel frattempo la macchina resta bloccata.

Se è vero che questi rischi, per il cliente, sono connaturati all'essere su un hosting condiviso e sono da considerare parte del rischio che lo stesso cliente si assume con la scelta di un servizio di taglio economico, e pertanto il provider non può essere chiamato a rispondere per l'interruzione del servizio,  è però altrettanto vero che quest'ultimo può essere chiamato a rispondere del ritardo con cui ripristina la regolarità del servizio.

Data la premessa sopra fatta al provider non resta che bloccare il sito che invia spam e darne comunicazione al cliente, che poi talvolta tali comunicazioni abbiano tono tutt'altro che cordiale ed ai limiti della maleducazione è alto discorso.

 

Sito web e hosting sospesi per spam dopo un hack

Il vostro sito è stato oggetto di un hack ed ora viene usato per inviare spam o diffondere virus? Volete eseguirne il ripristino e avete bisogno di assistenza? Contattateci, provvederemo noi al recupero e all'aggiornamento del sistema. È uno dei nostri servizi.

 

Recupero del sito spammer

Una volta lo spamming era sempre la funzione 'invia ad un amico' presente sulla quasi totalità dei siti, senza alcun sistema di controllo di che cosa fosse inviato. Questo è l'unico caso in cui la soluzione è semplice e sicura.

Ma negli altri casi?

spam e sito sospesoUna delle funzioni più utili introdotte nelle attuali versioni di PHP è la possibilità di monitorare l'uso della funzione mail. I provider che effettuano un'analisi del problema inviano al cliente anche il citato log da cui risulta evidente il file che sta inviando lo spam.

Non sempre però l'individuazione è così agevole, perché la funzione mail() è la modalità più comoda per inviare e-mail, ma non certo l'unica. I programmi di spam un poco più evoluti usano le funzioni di comunicazione delle librerie TCP/IP per connettersi direttamente ai server MX remoti e recapitare le e-mail, in questo modo l'attività non è tracciabile.

Chi poi accede al sito per usarlo come piattaforma di diffusione di e-mail indesiderate lo fa per averne un ritorno economico, non per la 'gloria' di avere il suo nome in coda ad un 'hacked by', quindi difficilmente avrà lasciato un solo programma in giro per il sito. I cms attuali sono composti da diverse migliaia di files, e un hacker non dilettante avrà salvato qua e là variazioni e non copie del programma spammer, in modo da impedirne una agevole individuazione.

In realtà quale che sia il metodo usato e le capacità tecniche necessarie per individuarlo la domanda da porsi è la seguente "come è stato possibile inserire nel sito questo programma?", finché non si trova la risposta il sito potrebbe tornare ad inviare spam. Considerate poi che probabilmente l'hacker ritenendo probabile che la sua modalità di accesso al sistema venga scoperta, si sarà lasciato dietro qualche shell php da usare come cavallo di troia.

 

Il sito che invia spam è hacked!

Questa è la triste conclusione. Se qualcuno è riuscito ad accedere al vostro sito e a inserirvi un file di script allora può aver inserito molti altri files e modificato quelli di sistema. Non potete più considerare sicuro niente di ciò che si trova nel sito, e dovete agire come nel caso il vostro sito sia stato oggetto di un hack vero e proprio, cosa che in realtà è stata.

Vi rimandiamo agli altri articoli, presenti nella sezione sicurezza, in cui abbiamo già affrontato le tecniche di recupero degli attacchi informatici.

 

 

Commenti   

0 #1 Stefano abba 2016-09-12 21:47
Buonasera, il nostro sito ha subito.attacco spam ed è stato sospeso. Fatto in joomla l'abbiamo sempre tenuto aggiornato all'ultima versione è protetto in diversi modi. Siete in grado di risolvere il nostro problema? Siamo un'azienda di distribuzione libraria di Torino e il sito è un e-commerce. Grazie in anticipo per la risposta, cordiali saluti.

===Risposta
ovviamente in questo caso le risposte sono solo in privato.
Citazione

Aggiungi commento

Please note: URL in text are not linked and user's site address is only for internal use and is not published.

Comments are human checked. All spam will be removed, so don't waste your time and, especially, mine!

Codice di sicurezza
Aggiorna