- Home
- Categorie
- Coding e Sistemistica
- Hosting e Cloud
- Aruba hackerata?
-
No, no, anche a me hanno bucato tutti i domini su Aruba (tutti con wp 2.8.4) inserendo nelle pagine index.php un codice malevolo che puntava a trojan. Ho dovuto ricopiare tutti i file di wp sovrascrivendo il resto.
[...]
-
:():
Mi spiace, ma mi conforta non essere il solo.
Mi confermi che l'sql non è stato toccato?Sto procedendo al ripristino, le index sembrano intatte (anche l'output sembra pulito).
Rettifica: ho appena visto che la stringa criptata aggiunta punta ad un trojan
Ahhhhh Aruba Aruba...
-
Ho ripristinato il tutto, riporto di seguito la struttura dei files da editare (o sostituire con backup precedenti) per rendere più semplice il lavoro a chi si trova nella nostra condizione.
*
ROOT -> index.php
ROOT -> wp-admin\index.php
ROOT -> wp-admin\index-extra.php
ROOT -> wp-content\index.php
ROOT -> wp-includes\default-filters.php
ROOT -> wp-includes\default-widgets.php*Anche se aruba non ammetterà di essere la causa, ho iniziato il trasferimento dei domini... ed io che l'ho sempre difesa
Buon ripristino a tutti
-
Non conosco la situazione, ma è ovvio che dobbiate chiedere ad Aruba. In ogni caso, WP non è il sw piu sicuro presente in circolazione, per cui la prima cosa è controllare che non vi siano falle note e non ancora risolte
-
Si Ady, i miei db non sono stati toccati, ma la pwd del FTP va cambiata il più presto possibile.
@*moderatore: non pensavo che due siti inerenti al contesto potessero essere dannosi per il forum.
*
-
@Ste@HostingTalk said:
Non conosco la situazione, ma è ovvio che dobbiate chiedere ad Aruba. In ogni caso, WP non è il sw piu sicuro presente in circolazione, per cui la prima cosa è controllare che non vi siano falle note e non ancora risolte
Ho cercato in giro, ma non risultano falle note della versione attuale di WP; i link postati da Redemption mostravano come erano solo i server di aruba a soffrire di questi attacchi;
server diversi con plugin, temi... diversi.
Ogni indizio punta contro aruba...
-
Aruba mi ha chiamato discolpandosi e mettendo la colpa al cms o ad un possibile mio furto dei dati. Siamo in diversi a sostenere che il problema sia il loro ma ovviamente loro non perderanno mai reliability nei confronti degli utenti ammettendo la loro colpa.
-
Si, contrattualmente, anche nel caso fosse una falla sui server Aruba o qualsiasi altro provider, non c'è alcuna responsabilità del provider.
-
Da due giorni su uno dei miei siti Avast segnala la presenza del trojan HTML:IFrame-BW [Trj].
Il sito è in hosting Windows su Aruba, ma non uso cms: la pagina l'ho creata io e non ho mai avuto problemi del genere in passato.
-
Sei vittima anche tu
Controlla il codice dei file che risultano modificati (come data) e nel caso ripulisci o recupera dal backup se hai il servizio attivo.
Se metti un link non attivo del sito possiamo darci un'occhiata.
-
@ady said:
Adesso il problema non c'è più perché ho sovrascritto con files che avevo in locale e stupidamente non ho fatto un'analisi seria del problema: vediamo se si ripresenta. Per sicurezza ho anche cambiato password di accesso ftp.
-
Hai provato a controllare i file log? In particolare access.log? Per vedere se hanno fatto una "iniezione" di codice?
-
Con la configurazione di hosting che ho acquistato non posso vedere i log (vedo le statistiche elaborate, ma non i log originali).
-
@RoccoV said:
Da due giorni su uno dei miei siti Avast segnala la presenza del trojan HTML:IFrame-BW [Trj].
Il sito è in hosting Windows su Aruba, ma non uso cms: la pagina l'ho creata io e non ho mai avuto problemi del genere in passato.Se il tuo è un sito totalmente statico e non hai cms, difficilmente è colpa tua.
O ti han rubato gli accessi FTP (e lo puoi vedere solo dai log) o il server di Aruba ha qualche falla di tipo cross-site.Di certo, una pagina statica danni non ne può fare.
-
Non so, io sono molto attento su certe cose e inoltre se mi avessero carpito la password penso che avrebbero potuto fare cose ben diverse e anche su altri miei domini, per cui mi sentirei di escludere il "furto" di password.
-
Ciao roccov, forse su piattaforma windows il problema non è di aruba, sempre se nn hai cms. per verificare chiedi i log per email o falli scaricare in ftp dal servizio assistenza, è un'operazione di 2 forse 3 minuti per loro.
Poi nei log dovresti intanto controllare gli accessi in ftp e le varie autenticazioni fallite e non. se riscordi la pagina in questione, forse fai prima a cercare tutte le modifiche o le voci di quella pagina, escludendo le altre...
-
@Inwebadriatico said:
[***]
La pagina infetta me la ricordo bene perché era proprio la pagina di apertura del sito (index.htm).
Però adesso mi è venuta in mente una cosa: c'è una sezione del sito (in una cartella a parte, ma sempre nello stesso dominio del sito) che è basata sul cms open source dblog.
Non mi era venuto in mente prima perché si tratta di una piccola sezione del sito e inoltre l'unica pagina che dava la presenza del trojan era index.htm che non ha niente a che fare con il cms.
Può il problema essere partito dal cms ma manifestandosi su una pagina esterna allo stesso?
-
Ho spiegato al provider il problema e ho chiesto se fosse possibile vedere i log del 6/7 ottobre per capire se ci fosse stata violazione del mio account, ma Aruba mi ha risposto che da contratto i log possono essere richiesti solo ed esclusivamente dalle Autorità Giudiziarie quando l'eventuale azione malevola non è scaturita dalla presenza di vulnerabilità dell'applicativo usato.
-
Ciao, non è certo una risposta molto esaustiva, ma è classico di aruba, comunque è vero che non si possono fornire i log a tutti ma solo alle autorità ma se i log sono del mio sito, ed io ne sono il proprietario ho la facoltà legale di poterli vedere... forse qui possono darci una mano i legali che rispondono su giorgiotave.it
-
Dimenticavo, per poter affermare che l'azione malevola non è scaturita dalla presenza di vulnerabilità dell'applicativo usato, vuol dire che qualcuno ha letto i log, altrimenti come fanno ad affermare una cosa simile?