Virus su Aruba: cosa succede, come lo fanno, come rimuoverlo dalle nostre pagine

Author: Guido Arata

31 mar

Da qualche giorno i server di Aruba sono sotto attacco da parte di ignoti. Questi riescono ad accedere in accesso privilegiato ai server condivisi di Aruba, sui quali lanciano script automatici che vanno ad aggiungere un piccolo script maligno in ciascuna index.php che trovano.

La cosa è negativa per i visitatori del sito infetto in quanto rischiano di subire danni, ma lo è anche per il portale infettato, che viene catalogato come “pericoloso” da Google ed in quanto tale penalizzato. Inoltre buona parte dei browser e degli antivirus inibiranno l’accesso al sito. Insomma, danni anche in termini di credibilità, visibilità ed accessi.

Una catastrofe? Definiamola un brutta situazione, mentre definirei catastrofica la decisione di affidare ad Aruba i propri progetti professionali. Sono ormai oltre 10 mesi che con cadenza irregolare mi trovo ad affrontare problematiche di questo tipo. Anzi, proprio la stessa! Stesso script, stessa strategia di attacco, stessa pagina infettata. Possibile che il mega-team di Aruba non sappia porre rimedio?

Comunque, per eliminare il virus qualora pure voi vi troviate in mezzo a questa situazione, basta fare così: aprite con un editor la vostra index.php e cercate (all’inizio o alla fine) uno script JavaScript lunghissimo, che termina con il commento “//Important security update“. Cancellatelo, salvate e riuppate la index.php. Tutto tornerà apposto.

Nel caso in cui ancora Google brocchi l’accesso al nostro sito, bisogna entrare nel Centro Strumenti per i Webmaster di Google e richiedere una nuova analisi del nostro sito.

Questo è quanto. E che in Aruba si sveglino, non ci vogliono delle menti particolarmente brillanti per bloccare un attacco che si presenta sempre identico.

Dai visibilità al problema: Tweet #siamoeroi

Filed under: Tutti gli articoli

Commenti da Facebook

41 Responses for "Virus su Aruba: cosa succede, come lo fanno, come rimuoverlo dalle nostre pagine"

Alberto marzo 31st, 2010 at 11:35 am 1
Bell’articolo. Anch’io sono stato fregato da Aruba e credo che presto valuterò l’ipotesi di spostarmi su altro ISP. La cosa strana è che lo script di cui hai parlato tu, è stato inserito su 2 di 4 siti che gestisco su Aruba… chiss� che cacchio stanno combinando… Che abbiano bucato gli account FTP dei vari clienti? Ho provato a capire come cambiare la pwd FTP su Aruba ma non ho trovato nulla. Sembrerebbe che la cosa non sia fattibile… hai qualche suggerimento in merito?
Guido Arata marzo 31st, 2010 at 11:41 am 2
Ciao Alberto,

cambiare la password FTP su Aruba è fattibile, ma non aiuta, in quanto gli attakker non è che sanno la tua e la mia password, bucano il server “a priori” e poi entrano in ciascuna cartella (sito) che questo ospita..quindi noi possiamo farci poco…anche impostando permessi ristretti alla index.php, gli attakker entrano come root, quindi è inutile…

Se scopro qualche antidoto ti faccio sapere!

G.
Diego marzo 31st, 2010 at 2:01 pm 3
Cambiare la password FTP cmq rimane un aspetto fondamentale anche se si loggano come root perch� se il malware non viene eliminato si replica anche non avendo più l’accesso al server principale
Alberto marzo 31st, 2010 at 2:37 pm 4
Grazie per le dritte. Vedrò di capire come poter cambiare la pwd per l’accesso FTP su Aruba. La cosa che mi fa più girare le scatole è che la maggior parte delle visite che ricevono i miei siti provengono da Google, che ha però “bannato” temporaneamente le mie pagine senza averle però tolte dall’indice bensì viene mostrata una sorta di pagina di avviso che il mio sito conterrebbe del codice malware, senza permettere l’apertura del sito.

Il tutto con i ringraziamenti a Mr Aruba!
Diego marzo 31st, 2010 at 3:13 pm 5
@Alberto: la password FTP di aruba è la stessa che usi per accedere al provider infatti basta andare sul loro sito e dal menu scegliere modifica password di accesso
Alberto marzo 31st, 2010 at 3:16 pm 6
Grazie 1000! Ciao!
Stefano aprile 10th, 2010 at 6:23 pm 7
Io ho 4 siti con lo stesso account e da qualche mese, una volta al mese, succede proprio questo.
Quelli di aruba, contattati in merito, mi hanno detto che è colpa mia, che devo cambiare le password, aggiornare il software che uso sul sito ecc…. Mentre apprendo ora che capita un po’ a tutti e dunque non è colpa nostra ma loro!
Andrea aprile 14th, 2010 at 9:11 am 8
Ragazzi, aggiungo la mia testimonianza!
Dallo scorso Ottobre, sul mio principale sito ospitato su Aruba, ho ricevuto 5 attacchi del genere (2 nelle ultime settimane): anche dopo aver cambiato la PSW non cambia nulla e si ripresenta lo stesso identico problema. Che poi si amplifica grazie a Google e quell’orrendo blocco dei siti.
Non si può continuare così, dobbiamo fare qualcosa! Se Aruba singolarmente da la colpa a noi utenti, non potr� più farlo se ci uniamo e rendiamo presente che il problema è generale e coinvolge tanti utenti…a meno che fanno finta di non sapere…in ogni caso, almeno segnaliamo questa pagina all’assistenza Aruba e usiamola per aggiornarci su nuovi sviluppi. Sarebbe grandioso riuscire a sistemare la questione senza dover per forza cambiare hosting.
marco aprile 14th, 2010 at 9:48 am 9
il problema è grave e non banale, ieri mi hanno attaccato circa 11 siti, tra cui due siti in cue c’era solamente una pagina index.html e basta…. nè php, nè DB e la password l’ho cambiato 1 mese fa…
Andrea aprile 14th, 2010 at 10:03 am 10
Confermo, ho 3 pagine index sul mio sito (ognuna con una lingua diversa – una in formato .html e le altre due .asp) e sono le uniche pagine che ogni volta vengono attaccate. Tra l’altro l’attacco avviene sempre, mi pare, intorno alle 14.00-15.00. Spero di dare aiuto in qualche maniera, aggiungendo dettagli al caso.
Andrea aprile 14th, 2010 at 12:37 pm 11
NON E’ POSSIBILE! Anche questa pagine contiene materiale infetto…..non me n’ero accorto perchè navigavo da un Mac. Come non detto, discutiamo di questo problema altrove!
Guido Arata aprile 14th, 2010 at 1:11 pm 12
Virus tolto. La situazione sta diventando insopportabile.

G.
Stefano aprile 14th, 2010 at 9:53 pm 13
Io tra siti personali e dell’azienda ho 8 siti presso di loro e ora sto cercando dove trasferirli.
Franco aprile 15th, 2010 at 5:12 am 14
Salve amici, non posso che accodarmi alla lista delle “lamentele” per questo fatto che accade su aruba, anche il mio index viene sistematicamente inquinato da codice malvare, fortuna che è un sito costantemente monitorato e riesco ad accorgermi quasi in tempo reale e ricaricare un index “pulito”, le prime volte ho cambiato password ecc.ecc. come suggerito da aruba, ma poi, vista la risposta sempre identica, non ho più cambiato nulla, anche perchè aruba permette un cambio password abbastanza elementare in quanto non sono previste maiuscole e altri simboli e limitata a pochi caratteri, insomma, gli hacker ci vanno a nozze.
Mi s� che aruba si st� giocando credibilit�. cambiare provaider è semplicissimo e star� perdendo clienti a iosa e se questo non importa loro figuriamoci a me, accidenti a loro, perchè son sicuro che l’attacco è molto agevolato dalla loro scarsa cura nel prendere di petto la vicenda.
Purtroppo da quello che ho letto in giro c’è poco da fare, comunque teniamoci informati e segnalare a aruba questa pagina non sarebbe malvagio.
Cordialissimi saluti
Franco
marco aprile 15th, 2010 at 7:23 am 15
creaimo una lista di tutti i siti attaccati e poi vediamo se il problema è nostro o di Aruba…
Franco aprile 15th, 2010 at 10:05 am 16
Confermo per la lista, ma penso che aruba sia ben conscia di questo, infatti mettendo in google questa stringa “virus e aruba” si ottengono una marea di problemi analoghi ai nostri, insomma per dirla in breve “ARUBA E’ UN COLABRODO”.
Franco aprile 15th, 2010 at 10:35 am 17
Ecco, posto un link tra i tanti, ma molto interessante anche se un pò difficile attuare per i neofiti, ma c’è un pò di soluzioni al problema:
http://25yearsofprogramming.com/blog/20070705.htm

Non sò se sia possibile inserire link su questo Blog, comunque l’ho messo sperando di far cosa gradita a qualcuno.
Stefano aprile 15th, 2010 at 2:20 pm 18
Ieri ho riaperto dal loro sito il ticket che avevo aperto riguardo al primo attacco hacker che ho subito.
Gli ho segnalato anche questa pagina, dicendo che sono ben conscio che non è solo un problema mio ma che la colpa è loro, viste le lamentele di tutti. Non hanno ancora risposto.
Guido Arata aprile 15th, 2010 at 3:15 pm 19
Gi�, l’unica possibilit� – per noi per evitare di trovarci ancora in questa situazione, e per Aruba per sperare di non fare ulteriori figuracce (perchè se Aruba si dimostra poco disponibile e strafottente vedremo di far sapere ben bene in giro di che servizio si tratta in realt�) – è provare a fare una richiesta in massa, coordinata, unita.

Sennò questi fan finta che il problema non esista

G.
Luigi aprile 18th, 2010 at 6:56 am 20
Salve ragazzi,

anche il mio sito è sotto attacco per la seconda volta in 2 settimane.

GUardate qui un po di statistiche rispetto Aruba:

http://www.stopbadware.org/reports/asn/31034/

Qui dobbiamo muoverci in massa, c’è stata qualche lacuna grave.
Alberto aprile 19th, 2010 at 1:21 pm 21
Salve, avevo postato su questo Blog un paio di settimane fa segnalando appunto il problema che noi tutti conosciamo e 2/3 giorni fa si è ripresentato con le medesime modalit�. Possibile che l’unica soluzione da valutare sia quella di migrare su altro provider? E’ mai possibile che Aruba non si sensibilizzi su questa problematica che, a mio avviso, oltre a gravare sull’immagine di Aruba stessa, danneggia largamente anche noi che siamo i suoi clienti? Vorrei aggiungere una precisazione: sono il webmaster di 4 siti hostati su Aruba e tutti e 4 sono su piattaforma Linux e non Windows. Che dipenda da questo? Qualcuno di voi è stato attaccato anche su web server Windows? Valutiamo eventualmente di fare una lista dei siti attaccati o di creare una sorta di “raccolta di firme” che potremmo poi girare ad Aruba sperando che si decidano a risolvere questo problema una volta per tutte!
Stefano aprile 19th, 2010 at 1:26 pm 22
un’idea: questo hacker modifica tutte le pagine index ma nient’altro. I server aruba (come la maggior parte) sono impostati in modo che se uno digita http://www.dominioxy.com senza specificare quale pagina, il server cerca la index.html, se non c’è cerca index.php, poi main.html ecc…
Io ho rinominato le mie index.php in main.php e forse non dovrebbero essere più colpite, al prossimo attacco (e ho lasciato una pagina index-old.php come “esca” in modo da dargli qualcosa da modificare). Questo ovviamente soltanto finchè il suddetto hacker si accorge dell’inghippo…. Nel mentre magari ho un po’ di tempo in più per cercare come e dove spostare tutti i miei siti altrove
Andrea aprile 19th, 2010 at 2:03 pm 23
Il mio principale sito (attaccato da Novembre ad oggi ben 5 volte, nonstante segnalazioni, cambi password, etc) è su piattaforma Windows.
Telin aprile 28th, 2010 at 2:12 pm 24
Ci sono anche io, stessa bega, ormai la terza volta!
Qualche news?
Guido Arata aprile 28th, 2010 at 3:26 pm 25
Eh nessuna, nessuna risposta da Aruba. Io sto migrando altrove…e dinuovo oggi altro attacco.

G.
Franco aprile 28th, 2010 at 5:22 pm 26
Confermo anche io il nuovo attacco di oggi 28/04/2010.
Stessa trafila, aggiunta di codice malware agli index. Sino ad ora sono stato fortunato che non gli ho dato il tempo di propagarsi anche all’index primario del sito, e evitare che Google se ne accorga, ma è una storia che rompe le pa..e, stare costantemente a monitorare gli index, oggi ho anche ricambiato la password, Aruba non si f� sentire, temo proprio che l’unica soluzione sia migrare tutto su altro provider. Il virus è sempre lo stesso “HTML:Iframe-MR[Trj]. Incazzato nero…..

Ad ogni modo, postiamo sempre le date degli attacchi, per avere una nostra statistica e vedere se coincidono tutti lo stesso giorno, anzi la prossima volta metto anche l’ora in cui si è avuta la modifica dei file, ora non posso perchè nella fretta non l’ho segnata.

Ciao ragazzi e “l’unione f� la forza”.
Franco
Stefano aprile 28th, 2010 at 7:20 pm 27
Attaccato ieri, 28/04 alle 8:10, su tutti e 4 i miei siti, ma stranamente non ha toccato i file index.php, ma ha cambiato solo altri file tipo index-old.php, index2.php ecc… (che perciò non creano problemi perchè non li uso). Strano davvero. Provate a creare delle copie di index rinominate così, vedete se lo fa anche a voi la prossima volta
Franco aprile 28th, 2010 at 11:23 pm 28
Si confermo che tutti gli attacchi che ho avuto sono stati su index secondari, diciamo del tipo “index_1.html”, “index_2.html”, ma mai sul primario, sull’index.html, ora non saprei se dipenda dal fatto che me ne accorgo quasi subito o che altro.
Staremo a vedere in seguito, comunque ho fatto come hai detto tu Stefano e gli ho dato in pasto un’altro index_3, sino a che si accanisce li, mezza pena, ma resta il fatto che è una rottura di cog…

Sarebbe interessante sapere se capita a qualcuno che non ha script caricati, nel senso che il dubbio ti rimane sempre che non sia io ad aver caricato qualche script bastardo, anche se li ho controllati e ricontrollati, BHO!!!

Ma se la cosa succede anche a chi a un sito “pulito” nel senso con poche pagine,magari in puro html statico (io ne ho 50.000), allora la cosa si f� più chiara ed eliminiamo l’atroce dubbio che possa dipendere da noi.
A presto per nuovi aggiornamenti
Franco
towerlight2002 maggio 24th, 2010 at 9:26 pm 29
Ciao,
personalmente ho riscontrato che tutti i file index.php presenti in wordpress sono stati infettati in date diverse.

Una soluzione sperimentata che sembra fermare il virus è quella di cambiare i permessi ai file.

In pratica tramite FTP ho attribuito ai soli file index presenti in wordpress permessi 555

Ovviamente quando aggiorniamo WP i permessi devono essere riportati a 755.

Dal 12 aprile nessuna infezione.
riccardo giugno 6th, 2010 at 7:46 pm 30
Ciao A tutti, noi abbiamo + di 20 siti su aruba ed ad uno a uno google ce li banna tutti.

Come potete vedere il tipodi attività che abbiamo usa internet per raggiungere i clienti e ricevere il loro contatto.
Usando mac non ci siamo accorti ed amici ce l’hanno indicato prima che Google cominciasse a segnalare il sito come malevolo ora le segnalazioni stanno aumentando andando a colpire ognuno dei siti.

Ho provato a guardre la stringa ma non ho trovato //Important security update, ma solo una funzione security update con una sequenza lunghissima di codice per me indecifrabile.

Non se questo è la causa e vorrei essere sicuro prima di intervenire.

Voi che mi suggerite?

Possiamo provare a fare su FB una sorta di class action contro Aruba o su petizione online e scrivere ad Aruba perchè spenda un po’ di soldi per riparare il colabrodo. In termini di Sicurezza un’impresa di queste dimensione dovrebbe essere l’eccellenza.

Mi unisco a tutti voi per qualsiasi cosa vogliate fare.
Ciao
Guido Arata giugno 6th, 2010 at 8:03 pm 31
Ciao Riccardo,

Sì è lei! Elimina quella funzione e ri-uppa il file.

G.
Roberto G giugno 9th, 2010 at 4:20 pm 32
Ciao Amici,
mi unisco anch’io alla funerea tempesta di proteste verso Aruba.
Su un totale di 37 domini da me amministrati, SOLO 10 sono su server Aruba e SOLO loro mi stanno creando problemi. Blocchi continui di Google e continua rimozione del codice malevolo da parte mia. Sta diventando ESTENUANTE. Senza contare il livello di insoddisfazione che sta crescendo da parte dei clienti.
I signori tecnici di Aruba mi rispondono sempre con le stesse email clonate, ma credo che molto presto perderanno quei miei 10 domini che hanno in hosting.
Non voglio screditare Aruba e non voglio fare pubblicità a società di hosting concorrenti, ma vi assicuro che da qualche anno uso un hoster SUPER ECONOMICO (a buon intenditor) e incredibilmente MAI AVUTI DI QUESTI PROBLEMI.
La mia pazienza sta raggiungendo il limite…
Ciao a tutti.
Roberto.
Raffaele giugno 12th, 2010 at 10:47 pm 33
Buona sera,
anche io come voi ho lo stesso problema.
Scusate se non sono esperto come voi ma io non riesco ad accedere alla mia index.php. Potreste spiegarmi con più dettagli?
Grazie

<>
milly giugno 23rd, 2010 at 9:10 pm 34
ciao a tutti, io sono nelle stesse condizioni e non so più cosa fare…. qualcuno mi sa dire come ha fatto ad uscire da questo pantano???
Roberto G giugno 23rd, 2010 at 9:43 pm 35
Come già spiegato, rimuovi il malware alla fine dei files index*.* e risolverai!
CIAUZ!
Leale Giovanni giugno 29th, 2010 at 12:09 pm 36
Siamo tutti afflitti da questo problema estenuante. Non vorrei che questo post diventasse pubblicitario, ma se qualcuno di voi ha una degna alternativa ad aruba è pregato di farsi avanti
riccardo giugno 29th, 2010 at 12:18 pm 37
noi stiamo optando per lasciare solo i domini con gestione DNS su Aruba e comprarci un piccolo spazio in hosting da un provider professionale che ci segue direttamente senza call center e email fotocopia che fan ricadere la colpa su di te sempre.

Mi spiace sono con aruba da forse + di una decina d’anni e avendola consigliata spesso e utilizzata molto mi spiace molto ma se un azienda crescendo perde il valore del rispetto dei propri utenti allora è il momento di lasciarla. invierò queste stesse parole alla direzione commerciale di Aruba.
ciao
Sten luglio 27th, 2010 at 4:09 pm 38
Vi dico un segreto Aruba e UN GRANDE VIRUS
francesco luglio 28th, 2010 at 5:19 pm 39
ragazzi avete detto tutto voi… mi unisco al coro ma aruba non capisce che a volte con un sito ci vivi?
ma qualcuno può suggerire un provider alternativo, ormai ho capito che è meglio un onorevole fuga ma non vorrei finire peggio!
lo so lo so… direte peggio di cosi… beh se qualcuno vuole dare un suggerimento sarà bene accetto
grazie
francesco
stefan agosto 25th, 2010 at 1:56 pm 40
idem con patate, attendo info per dove migrare grazie.
fabio agosto 18th, 2011 at 11:45 pm 41
molto interessante! Buona lettura!