Il tema è sempre lo stesso: i virus iniettati sui server Aruba e su cui il provider non dà spiegazioni ufficiali. Se ne parla un po’ ovunque, molti sono i sospetti che fanno pensare ad una responsabilità del provider (‘buco’ sui server’) piuttosto che del singolo sito in hosting, ma ad oggi nessuna confrma ufficiale (nè smentita).
Da una discussione Friendfeed arriva un’interessante reverse engineering del codice iniettato sui file ad opera di MCalamelli:
il codice iniettato esegue una chiamata valida a twitter.com [mostrando l’immagine del feed RSS] e impostando come callback alla chiamata una funzione maligna definita nello script stesso. La callback inserisce nella pagina un iframe nascosto che si collega ad un URL generato in modo casuale [in realtà c’è un algoritmo basato sulle date, ben visibile nel codice postato] per scaricare malware nel pc dell’utente. Lo script esegue un controllo su di un cookie per limitare le query nel caso di reload della pagina.
Per eliminare il problema, è sufficiente come suggerisce Giovy nella disucssione stessa rimuovere la riga contenente il codice offuscato. Il worm dovrebbe essere un malware piuttosto noto: Torpig/Sinowal/Mebroot.
Aruba tace e non risponde alle segnalazioni: ho spostato nelle scorse settimane (anche) per questi continui problemi l’hosting di maxkava.com, valutate anche voi se cambiare provider!
Per curiosità, su chi ti sei spostato? Cercavo un hosting economico non troppo costoso, con PHP e, magari MySQL (ma anche solo PHP, in caso)
Fabio,
adesso sono su hosting non commerciale per cui non posso aiutarti 🙂 Vediamo se qualcuno qui riesce ad aiutarti… 🙂