Nei giorni scorsi mi è arrivata una mail automatica di Google: su maxkava.com era stato rilevato malware. In sintesi nei file index di alcune sottodirectory qualcuno ha inserito un virus. Nessun attacco sulla parte di blog, mentre sono state corrotte alcune sottodirectory (in particolare www.maxkava.com/spam ancora attiva, e altre due sottodirectory non più visibili).
Il codice malizioso tentatava di infettare tradime redirect a esploit il noto MBR rootkit chiunque visitasse le pagine infette: mentre Explorer non segnalava nulla, sia Firefox sia Chrome avvisavano con un alert (la finetsra con sfondo rosso).
Ho pulito a mano i file, è stato facile: il malware era uno scritp inserito il 4 novembre 2009 al fondo dei file html e php, con un banale editor di testo l’ho tolto e ho ripristinato i file on line. Ho già segnalato a Google l’avvenuta rimozione del malware e dunque maxkava.com è tornato ad essere navigabile.
Cosa è successo? E’ abbastanza banale: i server Aruba, su cui è ospitato maxkava.com, sono stati ‘bucati’. Centinaia di domini contengono lo script dannoso. Lo dico con sufficiente certezza perchè basta dare uno sguardo in rete per leggere parecchie lamentele (questi i risultati di ricerca Google con le parole chiave Aruba malware). Un paio di link (ad esempio l’attacco a WordPress o l’attacco ad Antiphishing).
Un attacco ai server non è materia nuova (anche se ci si aspetterebbe che uno dei più famosi provider italiani sia all’avanguaradia per la sicurezza), quello che ritengo scandaloso è che:
– Aruba non si sia degnata di rispondere
– Aruba non abbia immediatamente bonificato tutti i server infetti (ogni singolo utente deve accorgersi del problema, correggere i file, uploadarli… maxkava.com è stato colpito il 4 novembre certamente Aruba avrebbe potuto ripristinare in automatico i file)
– Aruba non abbia fatto sapere cosa è successo e cosa ha fatto per porre rimedio (io posso anche cambiare la password FTP, ma è inutile se il buco nel sistema di sicurezza non è stato chiuso… chi è entrato una volta continuerà a entrare).
Sto meditando di cambiare provider…
Passa a godaddy
grazie Andrea per il consiglio… in effetti visto che Google toglie l'FTP devo comunque cambiare hosting, mi sto guardando in giro 🙂
A me è successo due volte, la prima lo scorso novembre ci ha causato danni notevoli: crollo visite, pc infettati, settimane di lavoro buttate ed introiti mancati. Ha danneggiato i settori di boot dei pc che non erano sufficientemente protetti.
Ora ci risiamo: proprio oggi mi sono accorto che sulla home-page di un sito che ho modificato ieri alle 23.31 aveva un trojan in coda e la pagina era datata due giorni prima.
Ma come c…. si fa visto le dimensioni e la tanto pubblicizzata webfarm di Aruba? Considerando poi che fanno anche pagare un servizio di antivirus… mah…
Ora ho aperto un ticket ma non spero molto in una risposta.
ciao
Confermo che la colpa è di Aruba.
A me è già la seconda volta che succede su diversi siti.
Il fatto poi che succeda a così tante persone e soprattutto su siti statici, senza neanche un form, mi porta a dedurre che non ci siano dubbi sul fatto che sono i server di Aruba ad avere la problematica.
A questo punto inizio a cercare un nuovo hosting.
Scandaloso il comportamento di aruba, il mio blog è risultato sotto attacco malware nell’arco di due settimane due volte e nonostante abbia aperto vari ticket non ho mai ricevuto una risposta soddisfacente o una soluzione al problema. Secondo loro il problema dipende dal cms wordpress, bha?
Purtroppo è successo anche a due miei siti.
Ho scritto ad Aruba e mi hanno risposto che è solo colpa mia perchè non ho saputo proteggere il mio cms (Wp) . Adesso ho installato due plugin per la sicurezza, ma credo servi a poco, non mi sento affatto tutelato da parte di Aruba.
Voi che plugin usate per tutelarvi da questi virus???
E’ una bufala: io non avevo wordpress installato (puro html) eppure l’iniezione del worm c’è stata lo stesso…
A quanto pare siamo in tanti a (continuare ad) avere questo problema con Aruba…che fare? Cambiare hosting?
Intanto vediamo di scrivere e tartassare l’assistenza Aruba, con minaccia di cambiare hosting. Questi non solo fanno finta di niente, ma danno anche la colpa a noi che non siamo in grado difenderci (secondo loro). E’ vergognoso e non si può più andare avanti così!
Camnbiare hosting è un buon inizio 🙂
Anche a me capia la stessa cosa quasi ogni fine settimana:
mi infettano tutti i file chiamati index o default (html o asp che siano)
aruba nega tutto, da la colpa a me ed è vergognoso!!!
Non vale a niente cambiare password, gli hacker del c4zzo entrano da qualche altra parte e colpiscono tutti i siti sullo stesso server
Io vi consiglio di migrare su hostgator, mi ci trovo da anni molto bene. Abbinate namecheap per la gestione dei domini .com/.net ecc cosi’ potete cambiare provider quando avete bisogno di performance migliori… non e’ mai bene lasciare la gestione del dominio alla stessa società che gestisce lo spazio web!
Il problema di hostgator e namecheap è che non gestiscono i domini .it. In quel caso dovrete trovare un maintainer italiano che vi faccia configurare i dns come volete voi per puntare su hostgator.
Anche io uso hostgator, ma negli ultimi tempi il server mysql ci mette una vita a completare le query, con conseguente ritardo di visualizzazione delle pagine.
Infatti presto sposterò il tutto sullo stesso hosting di Max (ho già un paio di macchine al nodo di Asti).
io su aruba ho lasciato solo la gestione dns… il resto l’ho tolto da un pezzo, pur non avendo bnecessità ‘professionali’ sul blog amatoriale