# Cosa devo fare se il mio Dolibarr è stato violato? Questa pagina è in costruzione Attenzione, non stiamo scherzando, questa pagina non è qui per spaventarvi, ma piuttosto per raccogliere tutte le buone idee e i commenti su questo argomento man mano che procediamo. Un hacker esperto potrebbe entrare senza lasciare troppe tracce, modificare il RIB del vostro conto bancario e inviare le fatture ai vostri clienti con il suo RIB ... quando vi accorgerete del problema (in genere 1 mese o 2, il tempo di seguire i clienti dicendo loro "non avete pagato" e loro rispondono "sì, guarda") ... sarete quindi nel classico caso della truffa del falso RIB, non succede solo ad altre persone. (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/que-faire-en-cas-de-fraude-au-virement-ou-au-faux-rib) Se è un po' meno "specialista di Dolibarr", rubare il login e la password del vostro account e-mail sarà già un bel trofeo ... ## La priorità assoluta: rendere il vostro dolibarr "inaccessibile". * È più facile dire se è installato sul server aziendale o a casa, tagliando la connessione a Internet. * Se si trova su un hosting dedicato, interrompere il server web (apache / nginx) - è brutale. * Se si tratta di un hosting condiviso (ovh, o2switch...) collegatevi con sFTP e rinominate la cartella in cui si trova il vostro dolibarr o andate nella console di gestione dell'hosting per disattivare il vostro sito web. Questa operazione è ancora più urgente se il vostro dolibarr è vecchio. Non lasciate online un Dolibarr "riparato in modo approssimativo" se non è su una versione "attuale" o "appena precedente". (Per esempio, oggi l'ultima versione stabile è la 17.0.2, la 16.0.5 è considerata affidabile, ma non lasciate online la 11.0.0, per esempio). ## Poi pensate e agite Potreste dire a voi stessi "il colpo è stato sparato"... sì ma no, non andate a dormire o aspettate "lunedì prossimo" per andare avanti... ### Analizzare l'entità del danno Si tratta solo di un tentativo di hacking? Un semplice messaggio sulla home page? O qualcosa di più serio, con la creazione di un account amministratore e una sessione aperta? O peggio ancora, un account di sistema locale creato con escalation dei privilegi (l'orrore assoluto in questo caso è una reinstallazione totale del server, che dovete pianificare, oltre a un audit di sicurezza della vostra infrastruttura per verificare che non ci sia stato un contagio). A questo punto, solo un esperto di sicurezza e Dolibarr può analizzare realmente la situazione. In ogni caso, è necessario consultare i registri di sistema del server web (che sono esterni a Dolibarr): **copiarli** copiarli il prima possibile per evitare che vengano cancellati da un'attività di pulizia dei registri programmata (anche se normalmente il periodo di conservazione è piuttosto lungo). Con questi log potrete isolare le query che sono state eseguite e prendere così le misure della realtà. Esempio: Niente di che, ha scaricato solo le bandiere dei paesi... beh, sarebbe strano se si fosse fermato lì! ``` 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/ax.png HTTP/1.1" 200 693 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/ky.png HTTP/1.1" 200 701 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/ck.png HTTP/1.1" 200 695 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/fo.png HTTP/1.1" 200 670 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/fk.png HTTP/1.1" 200 700 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/fj.png HTTP/1.1" 200 700 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/gs.png HTTP/1.1" 200 691 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/hm.png HTTP/1.1" 200 707 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/mh.png HTTP/1.1" 200 699 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/um.png HTTP/1.1" 200 698 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/sb.png HTTP/1.1" 200 697 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/pn.png HTTP/1.1" 200 697 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/sj.png HTTP/1.1" 200 684 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/tc.png HTTP/1.1" 200 695 ... 192.168.99.99 - - [20/giu/2023:23:08:19 +0200] "GET /theme/common/flags/vi.png HTTP/1.1" 200 704 ... ``` Un altro esempio molto più critico: l'utente ha scaricato il backup del vostro database. In questo caso, considerate che avete a che fare con una fuga totale di dati (si veda il paragrafo RGPD alla fine di questo messaggio). ``` 192.168.99.99 - - [13/Apr/2023:12:24:17 +0200] "GET /document.php?modulepart=systemtools&attachment=1&file=backup%2Fmysqldump_dolibarr_13.0.5_202304131224.sql.gz HTTP/1.1" 200 6349611 ``` ### Password degli utenti di Dolibarr Alcune vecchie versioni di dolibarr memorizzavano le password degli utenti "in chiaro", quindi è assolutamente urgente e prioritario informare i vostri colleghi per telefono o via SMS ma soprattutto non via e-mail (immaginate che la loro password di posta elettronica sia la stessa di dolibarr, è una pratica scorretta ma comune)... spiegate loro la situazione e dite loro di cambiare la password se è la stessa sulla loro casella di posta e su altri servizi online. E anche se il vostro recente Dolibarr memorizza password criptate, consideratele craccate: l'hacker ha in mano il risultato della password criptata e con l'aiuto di tecniche recenti (e/o di un'elevata potenza di calcolo) può eventualmente scoprire la vostra password. Considerate che era in chiaro e applicate lo stesso approccio. ### Altre password memorizzate in dolibarr Questo elenco non è esaustivo: * l'account di posta elettronica (in Home > Configurazione > Email) -> sostituite la password di questo account di posta elettronica con urgenza, poiché l'hacker potrebbe utilizzare questo account di posta elettronica per inviare spam o peggio: ad esempio, per inviare fatture con un falso RIB a vostro nome, mentre viene inviato utilizzando il vostro vero server di posta elettronica. * gli account di posta elettronica degli utenti se sono configurati per inviare/ricevere e-mail in Dolibarr con il proprio account, se si dispone di componenti aggiuntivi che lo consentono * servizi online configurati nei moduli aggiuntivi (o nei moduli di base, ad esempio l'account di stripe), che possono essere una login/password o una chiave API * .../... ### Dettagli banca Pensate alle VOSTRE coordinate bancarie e a quelle dei vostri clienti/fornitori se memorizzate queste informazioni nel vostro dolibarr. Controllate che queste informazioni non siano state alterate, altrimenti tra qualche mese potreste scoprire di aver trasferito denaro sul conto di un pirata che pensava di pagare il vostro fornitore. Al contrario, le vostre fatture potrebbero riportare le coordinate bancarie del pirata invece delle vostre coordinate bancarie e i vostri clienti penseranno di pagarvi inviandovi denaro. La soluzione migliore in questo caso è fare un "diff" con un backup del vostro database prima dell'attacco... ### SPAM L'unico obiettivo dell'aggressore potrebbe essere quello di utilizzare il vostro hosting come relay per lo spam, quindi l'audit di sicurezza dovrebbe verificare che non siano stati installati strumenti a questo scopo. ### Relay per hackerare un altro sito È anche possibile che l'obiettivo dell'aggressore fosse quello di utilizzare il vostro hosting come piattaforma centrale per hackerare un altro sito. Questo è particolarmente vero ora che ci sono organizzazioni che rifiutano tutte le connessioni in entrata da un indirizzo IP geograficamente situato in determinati Paesi. Gli hacker di questi Paesi creano dei server di "rimbalzo" e il vostro potrebbe essere uno di questi. ### Varie ecc. ## RGPD Se l'hacker è riuscito a connettersi, dovrete senza dubbio avviare le procedure ad hoc previste dalla legge (l'RGPD in questo caso): * https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles * https://www.cnil.fr/fr/diffusion-de-donnees-piratees-la-suite-dune-cyberattaque-quels-sont-les-risques-et-les-precautions # Cosa si può fare per evitarlo? Per evitare il più possibile che una situazione del genere si ripeta: * aggiornate regolarmente il vostro dolibarr (quando viene rilasciata una patch per la vostra versione, installatela senza indugio poiché si tratta di una patch per la versione corrente, ad esempio se avete la versione 16.0.4, installate la 16.0.5 non appena viene rilasciata) * impostare una vera e propria politica di backup, il che significa, tra le altre cose: * se fate una fattura alla settimana non è la stessa cosa che farne 100 all'ora * chiedersi: sono disposto a perdere: 1 ora di lavoro, 4 ore di lavoro, 8 ore di lavoro, 1 settimana di lavoro? * Spostate i vostri backup * su un altro server usando una tecnica get, non una tecnica push * controllare i backup, compreso il loro ripristino per assicurarsi che siano utilizzabili * installare moduli aggiuntivi dedicati alla sicurezza: * dolifence : https://www.dolistore.com/fr/modules/1437-DoliFence.html * totp : https://www.dolistore.com/fr/modules/1575-TOTP-2FA-Login---Filtre-de-pays.html * dolisecu : https://www.dolistore.com/fr/modules/1816-DoliSecu.html Se si ha accesso al server dolibarr, si possono adottare alcune semplici misure per evitare o rallentare questo tipo di problema: * chmod -w o utilizzare qualsiasi dispositivo di "sola lettura" per l'intero albero del codice di dolibarr (htdocs), non sarete più in grado di aggiornare o installare moduli tramite l'interfaccia web ma almeno un hacker non sarà in grado di modificare / scrivere i file. * I file dell'albero web possono essere letti dal vostro "utente del server web" ma non possono essere modificati. È praticamente la stessa cosa del punto precedente, tranne per il fatto che se l'account utente in questione viene violato, non sarà comunque possibile modificare i file.