• T
    User Attivo

    Come comportarsi : un sito causa Cross site scripting

    Un sito hostato sul mio server , è stato causa di un Cross site scripting, durante tutto il mese di maggio.
    Più volte è stato avvisato tramite email , tickets di supporto, skype e telefonate, di porre rimedio a questo, pena il blocco del sito, "scocciato delle continue prese per culo, il titolare aveva più volte affermato di aver sistemato " mi pare che era il 23/24 maggio sospendo il sito, il titolare mi contatta dopo due/tre ore dal blocco dicendomi che lo aveva sistemato e che lo aveva caricato sul server, il sito viene sbloccato vengo ri-abilitate le funzioni "dl, exec, passthru, system, shell_exec" , che in precedenza erano state disattivate, il server resta operativo poche ore, conseguenza appena il sito manda in "crash" interso server, il traffico/consumo banda è pari a circa 9.000GB , da premettere che banda/traffico per ogni sito è stabilito a 4.500gb.
    Dopo questo down ricontatto il cliente è molto gentilmente gli dico che il tuo sito non lo voglio più ospitare sul server, perché le prese per i fondelli non mi piacciono, mi piace la chiarezza " se avesse detto : non lo so fare, non sono capace, oppure non l'ho fatto perché non ho avuto tempo" avrei preso altri provvedimenti a supporto suo e del server.
    Personalmente dal mese di aprile da quando il sito è stato ospitato ho fatto sempre il possibile per offrire anche su questa macchina un servizio di qualità, aggiornando prima php, mysql, poi installando il mod_security, disattivando e/o meglio impostando diverse regole per il blocco di script , ma purtroppo non è servito a nulla sino a quando non è stato impostato la gestione del php.ini per ogni spazio web.
    Personalmente chiedo come devo comportarmi con questo cliente , visto che a ) ha causato un Cross site scripting, facendo si che un "hacker" installasse un ircd sul server b) a causa dei blocchi alcuni clienti hostati su quel server hanno chiesto la recessione del contratto
    Soluzioni:

    1. Gli faccio pagare la banda che ha consumato
    2. lascio perdere la cosa
    3. Alcuni clienti vogliono sapere l'origine della causa di tutto questo , do il nominativo e se la vedono direttamente loro
    4. ... consigli ?
    0
  • R
    User Newbie

    Salve theprincy, **********

    Tu dici: Più volte è stato avvisato tramite email , tickets di supporto, skype e telefonate, di porre rimedio a questo, pena il blocco del sito.

    Mai ricevuto da te una mail, un tickets di avvertimento, una telefonata e non sono mai stato contattato da te tramite skpe.
    I tickets di avvertimento e le mail rimangono, vediamo se le hai, abbiamo parlato un paio di volte per telefono perchè io ti ho contattato, visto i continui down del sito e alcune volte tramite skpe sempre per mia iniziativa.
    Se non erro mi hai inviato un tickets con la solita solfa del site scripting, a cui avevo già provveduto e posto rimedio prima di essere hostato da voi. Quando ti ho detto che il sito era sistemato era sistemato esattamente come lo è ora sul nuovo host dove non ha problemi e come lo è stato per 2 anni su tophost.(ho cambiato host solo per avere a disposizione domini di 3 livello).

    Poi dici: Dopo questo down ricontatto il cliente è molto gentilmente gli dico che il tuo sito non lo voglio più ospitare sul server, perché le prese per i fondelli non mi piacciono, mi piace la chiarezza...

    Ma quando e come mi hai contattato per dirmi gentilmente ste cose??
    Mi hai chiuso il sito, io ti ho chiamato chiedentoti di riaprirlo il tempo necessario ad effettuare il trasferimento su un altro host.
    Sembra tu mi abbia telefonato e mandato mail in continuazione, quando in realtà non hai neanche il mio numero, non mi hai mai mandato una mail, mi hai mandato un solo tickets (controlla nel tuo database), per il resto mi ripeto abbiamo parlato su skype quando io ti contattavo perchè il sito era down o quando lo hai chiuso. Se chiudi il sito di un tuo cliente almeno avvertilo.

    Non sono io che devo darti dei consigli, fai quello che vuoi, l'unica cosa che non puoi fare è dare il mio nominativo in giro (inutile elencare le varie leggi della privacy) non mi và di ricevere chiamate da sconosciuti, anche se saprei cosa rispondere ai tuoi clienti.

    Dici che ho consumato 9.000GB, quindi 4.500gb in eccesso, secondo come spiegato nel tuo sito ti dovrei 9 euro (Il traffico addizionale ha un costo di 2,00€ Gb/mese).
    Innanzi tutto il pannello di controllo non ha mai conteggiato la banda utilizzata, (se lo avesse fatto sarebbe stato anche facile accorgersi di qualche problema) e poi in 15 giorni di up e down non credo di aver consumato nemmeno un 500mb.

    Buona giornata.

    0
  • S
    Super User

    theprincy non ha fatto nessun riferimento al nome del tuo dominio o al tuo come persona, ne tantomeno ha rilasciato tuoi contatti a nessuno:
    se ti riferisci a questo:

    1. Alcuni clienti vogliono sapere l'origine della causa di tutto questo , do il nominativo e se la vedono direttamente loroForse non ti sei reso conto che ci troviamo su un Forum, il quale serve appunto per chiedere consigli su molte cose, prima di prendere in considerazione l'azione da svolgere, quindi non è stata violata nessuna privacy, almeno in questo contesto e fino a quello che noi del Forum GT possiamo vedere.

    Legato sempre al discorso Forum e a quello che sono le sue funzioni, partendo dal presupposto che noi altri non sappiamo se theprincy dica la verità o meno, e questo non ci interessa, visto che siamo qui per dare risposta a dei consigli richiesti e non per giuduicare, ti prego gentilmente di replicare in separata sede per i tuoi attacchi o discolpe, perchè questo non è il posto giusto, se lo vuoi fare tramite il Forum GT, ci sono i PM per farlo, altrimenti puoi continuare ad usare i metodi di routine.

    Tutto ciò non è una presa di posizione nei tuoi confronti ne tantomeno per prendere le parti a un membro del nostro staff, ma bensi per rispettare il regolamento di questo Forum.

    Grazie per l'attenzione.

    0
  • T
    User Attivo
    0
  • T
    User Attivo
    0
  • S
    User Attivo

    ragazzi non vorrei essere pedante, ma penso che pubblicare le conversazioni dei ticket privati sia illegale, non so se il vostro contratto tutela cliente e azienda da cio, ma le leggi sulla privacy sicuramente 😉 se il cliente viene a saperlo potrebbe crearvi dei problemi 😉

    0
  • T
    User Attivo

    @Ste@HostingTalk said:

    ragazzi non vorrei essere pedante, ma penso che pubblicare le conversazioni dei ticket privati sia illegale, non so se il vostro contratto tutela cliente e azienda da cio, ma le leggi sulla privacy sicuramente 😉 se il cliente viene a saperlo potrebbe crearvi dei problemi 😉

    perfettamente ragione , ma sai io ho posto il problema in modo molto vago senza dare nomi , cognomi o riferimenti al sito .. ma quanto l'utente o pseudo tale che ha solo avuto il coraggio di dire stupidagini lì non ci ho visto e ho postato i nostri discorsi, non mi va di essere preso per i fondelli dal primo che arriva e che si crede di essere chi sa chi ...

    accetto il tuo consiglio purgo il post precedente ... ps non posso farlo 😞

    ps : Ribone44** libera lo spazio nei pm 🙂
    **

    0
Effettua l'accesso per rispondere