# Appunti spegnimento macchine ###### tags: `Tecniche Nuove` `AWS` `Migrazione` ## Lightsails ### Ubuntu-TN-LEMP ``` IP : 3.124.166.103 Specs: 1 GB RAM, 1 vCPU, 40 GB SSD OS: Ubuntu Region: Frankfurt, Zone A (eu-central-1a) Ports OPEN: 22, 80, 443, 3306 Costo: 5$/mese ``` La macchina era inaccessibile tramite SSH o navigazione. Ho provveduto a riavviarla ed è tornata a rispondere. Navigando direttamente sull'IP si visita una pagina che stampa a video phpinfo (**NON SICURO**). Facendo un reverse lookup dell'ip si trova che è collegata a due domini: * normativavitivinicola.it * tecnichenuovedev.it Il primo risponde con un certificato scaduto nel 2022, il secondo non risulta accessibile. L'ip assegnato alla macchina è statico. L'ultimo login in SSH sulla macchina risale al ``` Last login: Fri Mar 5 13:13:18 2021 from 185.47.228.99 ``` Sulla macchina sono presenti diverse cartelle con sorgenti in PHP (vanilla e Laravel) e JS (applicazioni in Vue JS). I sorgenti sono sia nella home directory dell'utente Ubuntu che nella cartella /var/www. La lista delle cartelle, e presumibilmente la lista di vecchi e attuali altri domini/siti collegati a questa macchina, in /var/www è la seguente: ``` api-ecommerce.tecnichenuovedev.it bargiornale-promomag.tecnichenuovedev.it dashboard.tecnichenuovedev.it demo-amgen.tecnichenuovedev.it demo-ticket-os.tecnichenuovedev.it html _letsencrypt normativavitivinicola.it normativavitivinicola.it.tar.gz premium.integratorifoodmed.it registazione.integratorifoodmed.it subscription-manager.tecnichenuovedev.it survey.tecnicaospedaliera.it tecnichenuovedev.it test-novartis.tecnichenuovedev.it webinar.tecnichenuovedev.it ``` ### Ubuntu-18-PazienteInformato ``` Specs: 2 GB RAM, 1 vCPU, 60 GB SSD OS: Ubuntu Region: Frankfurt, Zone A (eu-central-1a) Ports OPEN: 22, 80, 443 Costo: 10$/mese ``` Questa macchina è collegata al sito pazienteinformato.it ([LINK](https://www.pazienteinformato.com/)). La macchina contiene il server web (NGINX), i sorgenti PHP e un database Redis locale. ### Ubuntu-Varnish ``` Specs: 512 MB RAM, 1 vCPU, 20 GB SSD OS: Ubuntu Region: Frankfurt, Zone A (eu-central-1a) Costo: 3.5$/mese ``` Su questa macchina è presente un server Varnish. Essendo che la connessione al server viene eseguita tramite IP pubblico, non è possibile sapere in modo immediato quale servizio/macchina utilizza questo server. ### Ubuntu-Promozioni-Wordpress ``` IP: 54.93.220.212 Specs: 2 GB RAM, 1 vCPU, 60 GB SSD OS: Ubuntu Region: Frankfurt, Zone A (eu-central-1a) Ports OPEN: 22, 80, 443, 3306 Costo: 10$/mese ``` La macchina risulta non accessibile via SSH per via dell'utilizzo di un certificato custom chiamato "digiteam" non in nostro possesso. Non è stato possibile fare reverse lookup. Dalle porte aperte possiamo ipotizzare sia hostato un server web contenente delle applicazioni presumibilmente Wordpress. ### Ubuntu-SemprePresenti ``` IP: 52.59.233.122 Specs: 2 GB RAM, 1 vCPU, 60 GB SSD OS: Ubuntu Region: Frankfurt, Zone A (eu-central-1a) Costo: 10$/mese ``` Facendo un reverse lookup dell'ip si trova che è collegata a due domini: * [graficaquadrifoglio.it](https://www.graficaquadrifoglio.it/) * [semprepresenti.it]([https:/](https://www.semprepresenti.it/)/) Dentro la cartella /data/sites sono presenti le seguenti cartelle: * dashboard * grafica-quadrifoglio * semprepresenti * wpsemprepresenti ### Ubuntu-Forge-SDE ``` IP: 18.159.112.8 Specs: 8 GB RAM, 2 vCPUs, 160 GB SSD OS: Ubuntu Region: Frankfurt, Zone A (eu-central-1a) Costo: 40$/mese ``` Facendo un reverse lookup dell'ip si trova che è collegata a un dominio: * [clinicalrepo.com](https://clinicalrepo.com/) Sulla macchina è presente un'applicativo Laravel e vari server di supporto pertecnologie come memcache e redis. Ci sono "tracce" di plugin Wordpress ma non è stato trovato nessun sorgente collegato. ### Ubuntu-Forge-1 ``` IP: 35.159.22.92 Specs: 2 GB RAM, 1 vCPU, 60 GB SSD OS: Ubuntu Region: Frankfurt, Zone A (eu-central-1a) Costo: 10$/mese ``` **La macchina mina attivamente da diverso tempo, come già segnalato.** Facendo un reverse lookup dell'ip si trova che è collegata a un dominio: * [smartdigitalevents.it](https://smartdigitalevents.it) ### Ubuntu-Jitsi ``` IP: 18.197.174.227 Specs: 4 GB RAM, 2 vCPUs, 80 GB SSD OS: Ubuntu Region: Frankfurt, Zone A (eu-central-1a) Costo: 20$/mese ``` Applicazione Jitsi per video conferenze collegata al dominio: [videochat.smartdigitalevents.it](https://videochat.smartdigitalevents.it/) ### LAMP_DIAFIT ``` IP: 3.123.207.32 Spec: 512 MB RAM, 1 vCPU, 20 GB SSD Blueprint: LAMP (PHP 7) Region: Frankfurt, Zone A (eu-central-1a) Costo: 3.5$/mese ``` Navigando direttamente sull'IP si arriva alla homepage di diafit.it, se però si esegue il comando ```dig diafit.it``` si nota che questo punta a 4 record A di IP differente dalla macchina in questione. La macchina quindi sappiamo che hosta un server web contenente i sorgenti del sito diafit.it ma non sappiamo se sia effettivamente il server di produzione. ### Windows-Server-2019-Talend ``` IP: 3.120.245.33 Spec: 8 GB RAM, 2 vCPUs, 160 GB SSD OS: Windows Server 2019 Region: Frankfurt, Zone A (eu-central-1a) Costo: 70$/mese ``` Il server sembra apparentemente senza utilizzo. Le risorse in uso sono al minimo, non si notano file e programmi particolari installati Il severse lookup non ha restituito risultati. Sono presenti Filezilla e WinSCP ma senza alcun host salvato. ### Ubuntu-SPH-Prod ``` IP: 18.196.55.200 Spec: 8 GB RAM, 2 vCPUs, 160 GB SSD OS: Ubuntu Region: Frankfurt, Zone A (eu-central-1a) Costo: 40$/mese ``` Facendo un reverse lookup dell'ip si trova che è collegata a un dominio: * [smartpackaginghub.com](https://smartpackaginghub.com) Il sito è deployato usando Forge e sviluppato usando Laravel. ### Ubuntu-Promozioni-Wordpress-SnSh ``` IP: 3.68.83.243 Spec: 2 GB RAM, 1 vCPU, 60 GB SSD OS: Ubuntu Region: Frankfurt, Zone A (eu-central-1a) Costo: 10$/mese ``` Nessun risultato da reverse lookup dell'IP. Sembra siano presenti alcuni redirect e un'applicazione Laravel deployata con Forge che fa riferimento a qualche tipo di software per l'assistanza clienti di TN. L'app contiene anche chiavi per accesso alle API di Zoom. ### Applicazione "https://valore-aggiunto-birra.imbottigliamento.it" Sono presenti 2 ambienti ("prod" e "dev") che contengono svariate risorse, tra cui 6 macchine EC2 orchestrate da ECS, 1 cluster Redis (managed), 1 CDN CloudFront, 1 Load Balancer e 1 Database RDS MySQL (per ciascun ambiente). Il cluster è stato deployato usando svariate template CloudFormation. Questo rende relativamente semplice capirne l'architettura se pur molto vasta e contenente servizi di ogni genere. Per il momento la scelta è stata quella di impedire l'accesso tramite Security Group al load balancer. In questo modo non è più possibile accedere al front-end dell'applicazione ma il backend e tutti i servizi continuano ad essere perfettamente funzionanti. Riportare all'operatività del 100% è questione di sostituire 2 IP all'interno del Security Group (```sg-0c1ac2c4345c3629a```). Il costo di questa applicazione è di circa **390-400$/mese** (per entrambi gli ambienti) ## EC2 senza nome (Moodle) su us-east-1 E' presente una macchina EC2 associata a un security group con qualsiasi porta aperta. La macchina è una "t3a.small" e sembra collegata, guardando il key name, ad un'istanza "Moodle". E' presente anche una macchina con la medesima chiave ma in stato "Stopped". Nel SG è presente una rule su All traffic verso il SG "sg-5c06322f". Questa è stata momentaneamente eliminata. ## EC2 eu-south-1: artista-del-panino IP: 15.161.97.111 Macchina EC2 probabilmente collegata all'istanza RDS "artista-del-panino". Il sito web artistadelpanino.it non risulta essere collegato a questa istanza EC2 e parlando con Valerio e Stefano abbiamo supposto questo potrebbe essere un refuso di un vecchio applicativo per trasferire in territorio italiano le submission del concorso. Abbiamo provveduto a bloccare gli accessi tramite security group "*sg-0ef6b8ca3205cc388 - adp-ec2-security-group*", per ripristinare gli accessi è solamente necessario cambiare 3 IP nella lista delle inbound rule. ## EC2 eu-south-1: lime-survey-bitnami IP: 15.160.158.251 Region: eu-central-1 Facendo un reverse lookup dell'ip non risulta nessun dominio collegato. Inserendo l'ip sul browser non viene caricata nessuna pagina. La macchina è collegata alla stessa VPC e utilizza lo stesso security group di "artista-del-panino", quindi, bloccando la macchina di cui sopra, abbiamo interrotto l'accesso anche a questa. ## Volume EFS eu-west-1: TecnicheNuoveProd (fs-2e96f9e7) Volume EFS con capienza 640Gb. Non sono presenti access point registrati. Il security group collegato al volume "sg-919b79ed - filesystem-NFSSecurityGroup-1NQQF8WEA44U4" ha 2 regole inbound registrate: * 2049/TCP - 0.0.0.0/0 * 2049/TCP - sg-dbf91ba7 / app-v2-AppSG-1JLJ49O3NJST2 Il security group whitelistato in questo sg è chiamato "tecnichenuove-v2-tecnichenuove-prod-sg" e non è stata trivata alcuna risorsa collegata ad esso. Abbiamo provveduto a sostituire i due valori delle inbound rule in modo che risulti inaccessibile esattamente come fatto nei casi precedenti.