Nei giorni scorsi mi è arrivata una mail automatica di Google: su maxkava.com era stato rilevato malware. In sintesi nei file index di alcune sottodirectory qualcuno ha inserito un virus. Nessun attacco sulla parte di blog, mentre sono state corrotte alcune sottodirectory (in particolare www.maxkava.com/spam ancora attiva, e altre due sottodirectory non più visibili).

Il codice malizioso tentatava di infettare tradime redirect a esploit il noto MBR rootkit chiunque visitasse le pagine infette: mentre Explorer non segnalava nulla, sia Firefox sia Chrome avvisavano con un alert (la finetsra con sfondo rosso).

Ho pulito a mano i file, è stato facile: il malware era uno scritp inserito il 4 novembre 2009 al fondo dei file html e php, con un banale editor di testo l’ho tolto e ho ripristinato i file on line. Ho già segnalato a Google l’avvenuta rimozione del malware e dunque maxkava.com è tornato ad essere navigabile.

Cosa è successo? E’ abbastanza banale: i server Aruba, su cui è ospitato maxkava.com, sono stati ‘bucati’. Centinaia di domini contengono lo script dannoso. Lo dico con sufficiente certezza perchè basta dare uno sguardo in rete per leggere parecchie lamentele (questi i risultati di ricerca Google con le parole chiave Aruba malware). Un paio di link (ad esempio l’attacco a WordPress o l’attacco ad Antiphishing).

Un attacco ai server non è materia nuova (anche se ci si aspetterebbe che uno dei più famosi provider italiani sia all’avanguaradia per la sicurezza), quello che ritengo scandaloso è che:
– Aruba non si sia degnata di rispondere
– Aruba non abbia immediatamente bonificato tutti i server infetti (ogni singolo utente deve accorgersi del problema, correggere i file, uploadarli… maxkava.com è stato colpito il 4 novembre certamente Aruba avrebbe potuto ripristinare in automatico i file)
– Aruba non abbia fatto sapere cosa è successo e cosa ha fatto per porre rimedio (io posso anche cambiare la password FTP, ma è inutile se il buco nel sistema di sicurezza non è stato chiuso… chi è entrato una volta continuerà a entrare).

Sto meditando di cambiare provider…