La colpa è di Aruba

Qualcuno mi chiedeva ieri qualche dettaglio sull'attacco. Al volo: il cattivello di turno è riuscito a aggiungere una riga di codice maligno nel file index.php principale di questo sito:

Mi ci è voluto un po' a trovarla, perché per sicurezza ho controllato che tutti i file primari e secondari di WordPress fossero integri, e per sicurezza li ho poi ripristinati comunque tutti da una versione fresca.

Facendo qualche ricerca in rete ho scoperto che la colpa non è di WordPress (che in ogni caso tengo ben aggiornato, pulito e protetto), ma di Aruba - il provider che ospita questo sito - che è apparentemente responsabile di una vulnerabilità che sta causando una carrettata di attacchi ai siti che ospita (manco a dirlo, anche il blog di Irene aveva subito la stessa sorte - ed è stato sottoposto alla stessa procedura di purificazione). Per gli smanettoni, qui i dettagli tecnici.

In ogni caso, le solite cose: password FTP cambiata, database nuovo di zecca, ripristino permessi dei file critici rimessi a posto. Conto di fare un po' la voce grossa con Aruba, anche se dubito servirà a qualcosa. Sto meditando dunque anche di cambiare hosting: qualche suggerimento?

Questo inserimento è stato pubblicato in Geeking & Hacking e il tag , , , , , . Metti un segnalibro su permalink. Inserisci un commento o lascia un trackback: Trackback URL.

20 Commenti

  1. Pubblicato il 31 marzo 2010 alle 13:13 | Permalink

    Io uso hostingperte.it, costo bassissimo e buona efficienza (rispondono via mail anche nel weekend e in pochi minuti).

    Aruba è rinomato per lentezza e malfunzionamento, ti consiglio di scappare...

  2. Pubblicato il 31 marzo 2010 alle 14:50 | Permalink

    Ciao, è la prima volta che ti leggo, sono finito qui per un tuo vecchio post, e ho voluto vedere cosa avevi di "nuovo" 🙂
    Io adesso ho un server dedicato con un gruppo di amici, ma se hai bisogno di un hosting condiviso "normale", solo per fare girare wordpress, io mi sono sempre trovato bene con http://www.webperte.com, anche per quanto riguarda l'assistenza.
    Spero di esserti stato d'aiuto 🙂

    Saluti,
    Sergej

  3. Paolo
    Pubblicato il 31 marzo 2010 alle 15:46 | Permalink

    ciao,
    è da un po che leggo il tuo blog e devo dire che è davvero interessante!!!
    cmq se posso consigliarti vai su http://www.wide.it non è male e non costa neanche tanto! 😛

    grazie per la tua pazienza e per le spiegazioni adatte per chi "capisce di fisica ma non troppo" 😛

  4. Pubblicato il 31 marzo 2010 alle 16:21 | Permalink

    purtroppo è capitato anche al sito del corpo musicale dove suono. Aruba ha dato la colpa a WordPress non aggiornato, ma evidentemente avevano la coda di paglia...

  5. Pubblicato il 31 marzo 2010 alle 16:24 | Permalink

    Beh, nel mio caso non potranno farlo: il file in questione è fuori dall'installazione di WP, e WP era perfettamente aggiornato. Vediamo che dicono.

  6. Pubblicato il 31 marzo 2010 alle 16:36 | Permalink

    Ciao Marco, io uso da tempo http://www.netsons.com/ e mi ci sono sempre trovato bene tranne in un caso in cui hanno aggiornato i server ed hanno fatto un po' di casino con i DNS, comunque tutto si è risolto in un paio di giorni e 2/3 mail.

    Ciao, Davide.

  7. Pubblicato il 31 marzo 2010 alle 18:45 | Permalink

    Anche un mio amico che ha il sito su Aruba ha subito lo stesso attacco. Aruba ha un (non) sistema di sicurezza penoso!

    Il mio amico sta trasferendo il sito su un altro spazio hosting!

    Grazie di aver indicato i dettagli tecnici.

    Ciao, Annarita:)

  8. linuser
    Pubblicato il 31 marzo 2010 alle 19:04 | Permalink

    Credo proprio che Aruba non possa fare altro che un mea culpa perchè altri siti sono finiti nella blacklist di google , ad esempio linuxqualityhelp.it ( http://www.linuxqualityhelp.it/supporto/viewtopic.php?f=30&t=5469 ) .... in più non è la prima volta che sento di problemi con il loro servizio di hosting , ad esempio mi ricordo di questo caso in particolare ( http://antirez.com/post/105 ) in cui hanno lasciato all'utente finale il "compito" di gestire da solo la situazione, senza fornire alcuna assistenza tecnica.

  9. linuser
    Pubblicato il 31 marzo 2010 alle 19:22 | Permalink

    Un'altra cosa ... nel sito che viene indicato agli smanettoni per i dettagli tecnici , l'autore scrive di una "stringa senza senso" ...

    La stringa ha senso eccome invece : trattasi di codice javascript offuscato , tecnica in genere usata da alcuni webmaster "insicuri e paranoici" ( LOL ) ma sopratutto da phishers e spammers 😀 ...

    Qualcuno ne aveva già parlato in tempi non sospetti : http://www.gianniamato.it/2008/06/protezione-del-codice-sorgente-e-password-indecifrabili.html

  10. Pubblicato il 1 aprile 2010 alle 00:00 | Permalink

    dannata miseria... mi son perso un po' di post!
    anche io ho un sito su aruba e uno su http://www.hostingvirtuale.com/

    ti consiglio ovviamente il secondo 🙂
    d

  11. Albert
    Pubblicato il 1 aprile 2010 alle 09:50 | Permalink

    Ho avuto ottime esperienze con http://www.crytaltech.com in passato, nel caso tu debba gestire qualche blog mi sento di consigliartelo (anche i piani più economici) sia per il supporto tecnico celere che per le features supportate, se invece hai un alto budget a disposizione e necessiti di far girare applicazioni corpose mi rivolgerei a mediatmple o rackspace

  12. Hedges
    Pubblicato il 1 aprile 2010 alle 10:21 | Permalink

    Salve,
    solo per informare che chi usa TrendMicro Client/Server Secutity non può accedere, il blog è segnalato non sicuro e bloccato.
    Ho fatto una segnalazione ma ancora non si passa.

  13. Albert
    Pubblicato il 1 aprile 2010 alle 14:53 | Permalink

    ho sbagliato a scrivere l'url... era http://www.crystaltech.com !

  14. Pubblicato il 2 aprile 2010 alle 17:40 | Permalink

    Purtroppo è successo anche a due miei siti.
    Ho scritto ad Aruba e mi hanno risposto che è solo colpa mia perchè non ho saputo proteggere il mio cms (Wp) . Adesso ho installato due plugin per la sicurezza, ma credo servi a poco, non mi sento affatto tutelato da parte di Aruba.
    Voi che plugin usate per tutelarvi da questi virus???

  15. sergio
    Pubblicato il 5 aprile 2010 alle 00:22 | Permalink

    @Marco
    Se l’ hosting che usi è molto lento , sarai penalizzato nel posizionamento su google, ma forse questo lo saprai già,indubbio che aruba sia a buon mercato quindi tra i più economici ma non tra i migliori e anche questo lo saprai già,quindi per l'equazione qualità,affidabilità=prezzo (immaginando inoltre migliaia di contatti)io ti consiglio di prendere un server dedicato dai 30 ai 50 euro mensili.

  16. Pubblicato il 6 aprile 2010 alle 11:10 | Permalink

    @Fabio: ho provato un paio di plugin di "sicurezza", ma non penso servano a molto. Tengo aggiornato il core di WP, e ho dei setting un po' stretti sui permessi dei file, ma anche qui non credo serva a molto se poi l'infrastruttura di base del server condiviso su cui (per adesso) siede il blog è bacata.

    @Sergio: capisco benissimo l'equazione! A suo tempo scelsi Aruba perché non sapevo bene dove il blog sarebbe andato a parare, ed era la soluzione più rapida e indolore. A distanza di tempo, essendo le cose cresciute, in effetti sto considerando un hosting migliore, ma non credo di avere quel budget a disposizione, e probabilmente comunque non per un server dedicato. In ogni caso volo un poco sotto il migliaio di contatti al giorno, dunque sono in una fascia intermedia un po' antipatica, non sufficientemente grande da giustificare grossi investimenti, ma che meriterebbe di più. Ah, e non voglio mettere pubblicità sul sito per ripagarmi l'hosting, l'idea mi ripugna.

    @tutti: grazie per i suggerimenti, indagherò.

    P.S. Ho riscritto ad Aruba, ma fanno orecchie da mercante nonostante la cosa sia chiaramente colpa loro.

  17. ziosam
    Pubblicato il 6 aprile 2010 alle 20:10 | Permalink

    Ciao Marco, ti seguo "silenziosamente" ma assiduamente fin dall'anno scorso, dai tempi del battage pubblicitario sullo startup di LHC - poi ahimè finito in un bel lavoro di manutenzione straordinaria.

    Innanzitutto tanti tanti complimenti per il blog, che mi riporta ai tempi dell'università (ho studiato fisica elettronica, ma non l'ho terminata per passare ad informatica - sì sì lo so, grosso errore... ma adesso faccio il commerciante internazionale, quindi altro bel cambiamento!).

    Per l'hosting ti consiglio caldamente Siteground http://www.siteground.com : è in USA, benchè lo staff sia chiaramente dell'Europa dell'Est (e tu sai bene che i migliori informatici sono là ed in India). Risente positivamente del dollaro basso, e fornisce un servizio "unlimited" veramente performante e, soprattutto, sicuro.

    Buon lavoro e... tanti saluti ad Oliver! ;))

    Sam

  18. ziosam
    Pubblicato il 6 aprile 2010 alle 20:12 | Permalink

    P.S. Carino il mostriciattolo che mi è stato assegnato! 😉

  19. Pubblicato il 7 aprile 2010 alle 13:40 | Permalink

    Ciao,

    io ho un sito su http://unbit.it/

    Ha funzionato abbastanza bene finora.

  20. Gianluca
    Pubblicato il 8 aprile 2010 alle 11:14 | Permalink

    Anche tu, fidarti di un provider che si chiama a-ruba ;-))))

Scrivi un Commento

Il tuo indirizzo email non verrà mai pubblicato o condiviso.

Puoi usare questi tag e attributi HTML <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  • Mi chiamo Marco Delmastro, sono un fisico delle particelle che lavora all'esperimento ATLAS al CERN di Ginevra.

    Su Borborigmi di un fisico renitente divago di vita all'estero lontani dall'Italia, fisica delle particelle e divulgazione scientifica, ricerca fondamentale, tecnologia e comunicazione nel mondo digitale, educazione, militanza quotidiana e altre amenità.

    Ho scritto un libro, Particelle familiari, che prova a raccontare cosa faccio di mestiere, e perché.

  • feed RSS articoli
  • feed RSS commenti
  • Cinguettii