Non è la prima volta che succede e non è la prima volta che Aruba cestina qualche ticket assistenza di troppo. Forse non è legato strettamente ad Aruba, ma come è possibile che la maggior parte dei siti infetti risiedano proprio su hosting Linux o Windows di tale servizio?
Era già successo tempo fa. Tanti webmaster stressati da continue infezioni ai propri siti e poi… non era WordPress, non era un nemico… era solo Aruba. Ora l’infezione torna e Uploads, nuovamente vittima (ma pulito!), lancia un allarme a chi come me utilizza tale hosting.
Si chiama security_update ed è una stringa senza senso che, non si sa bene con quale grazia divina, infesta i più comuni file WordPress o php. Viene identificato come malware solo da pochi antivirus (Antivir Free-AV lo riconosce da anni a questa parte) e – almeno in pratica – non arreca danni al PC. Se ne va con una pulizia dei dati temporanei quindi alla fin fine non è così “ostio” per i navigatori.
Cosa rischia il navigatore? Quasi nulla. Se sei fortunato il suo antivirus manco lo risconosce.
Cosa rischia il webmaster? Tanto. Se Google identifica il sito come infetto (utilizza “strumenti per webmaster di Google” se succede) sei nella…. “merda” si può dire su Uploads? Rischi di perdere il 90% delle visite e di crollare giù… Browser come Chrome (sei messo male) o Safari potrebbero bloccare l’ingresso sul tuo sito. Il SEO quindi perde di qualità e Google.. bhè tanto bene non ti vuole.
Come riconoscerlo? Al 100% apri il tuo sito utilizzando Antivir Free-AV con Internet Explorer (vedi un po!). L’antivirus lo rileva nei temporanei e ti segnala il file infetto.
Come rimuoverlo? Prendi nota del file infetto. Se si parla di un file .php o .js solitamente risiede in theme/cartella tema. Apri FileZilla e scarica il file infetto che l’antivirus ti segnala. Aprilo con il blocco-note e cerca una stringa assurda… del tipo:
Cancellala e Рin teoria Рil gioco ̬ fatto. Ricorda di cambiare password FTP sul sito Aruba.it
Se l’infezione risiede in un file .htm o .html riscarica WordPress dal sito ufficiale e sovrascrivilo. Cosa fare dopo? Se ho capito bene gli hacker prendono di mira un sito che a macchia d’olio infetta i siti che risiedono sullo stesso server (su più IP Aruba ci stanno infatti più siti diversi). Il mio consiglio è quello di controllare costantemente il tuo sito utilizzando Free-AV oppure di seguire consigli diversi, come quelli di Julius.
Anche il mio sito in questi giorni è stato infettato allo stesso modo. Io purtroppo me ne intendo troppo poco per capire cosa è successo, ma i gentili ed efficaci assistenti di Aruba mi hanno detto che c’era un codice malevolo nel file index.php, e me l’hanno tolto.
Non avevo indagato ulteriormente, ma se dipende da loro in effetti c’è da arrabbiarsi! In effetti google diceva che il mio sito era stato infettato da un altro, insieme ad altri 313… Risultato? Una settimana di buio e una pessima pubblicità !
E’ una cosa indecente. Sempre la stessa infezione poi!
Questa volta non son stato fortunato e benchè abbia pulito tutti i file dopo neanche due ore ora sono, come dici nell’articolo, nella “merda”.
Spero che Google si sbrighi a togliermi dai siti malevoli, prima che i danni diventino troppo grandi.
Vi assicuro che il cms installato non centra un bel niente.. sono stati infettati tutti i miei siti compreso uno sul quale non c’è ne wordpress ne simili, bensi programmato da zero.
In tutti i siti è stato modificato il file index.php nella root.
A questo punto, visto che non è la prima volta.. bisognerebbe creare un codice ad hoc che confronti la index.php con una copia salvata in un’altra cartella.. e nel caso ripristinarla
Può essere un’idea…
Emanuele, hai segnalato a Google di ricontrollare il tuo sito? Con il mio sono stati molto tempestivi…
@Sestooos
si il cms non c’entra nulla. io con un solo user accedo a più siti aruba. sono stati modificati sia file html di classici siti, sia file wp. E’ una vergogna!
Confermo!!!, non riguarda i cms, per lo meno non solo wordpress, sui miei siti ho sia cms proprietari che siti fatti da zero e sono stati attaccati tutti i file index.php
Che siano entrati direttamente sui server di Aruba???
Anche a me è successo più volte, sempre la stessa tipologia di attacco, wordpress non centra, anche se si aggiorna il cms all’ultima versione disponibile, il blog rimane comunque attaccabile da questi fastidiosi hacker.
Il problema è dovuto solamente al fornitore del servizio web hosting che in questo caso non è adeguatamente protetto e non fa nulla da tempo per evitare che accadano fatti di questo tipo.
A questo punto penso che l’unica soluzione sia abbandonare Aruba e trasferire blog e database su un’altro server, cosa che breve farò.
Lo so, è una seccatura, ma se quelli di Aruba non si muovono a tappare i buchi questa è l’unica strada da intraprendere.
Ciao
TheNorba
Stesso casino anche per me… su WP ho trovato infettato il file index.php alla prima riga con un codice simile.
La prima cosa da fare cmq è cambiare la password di accesso ad aruba poi modificate il file index.php.
Stessa minestra anche per il sottoscritto. Da due giorni il file index.php di due miei siti web hostati su Aruba hannu subito il vostro medesimo problema. Il codice Malware è stato inserito in testa al file index.php con conseguente oscuramento delle mie pagine da parte di Google. Secondo voi il problema è dovuto ad un virus che ha attaccato Aruba, oppure ci è stato bucato il nostro account FTP? Io ho provato a cercare di capire come poter cambiare la password FTP su Aruba, ma non ci sono riuscito
( Sembrerebbe che la cosa non sia fattibile. Qualcuno di voi avrebbe dei suggerimenti da darmi? Grazie
Per cambiare la password FTP di Aruba, e di tutti i servizi associati al tuo dominio (la password è la medesima anche per il rinnovo dominio), fai il login su http://hosting.aruba.it/ con le tue credenziali e scegli “modifica password”.
Appena ripristinato anche io, wordpress 2.9.1 su aruba.
Che strazio perdere tempo cosi
Adesso google me lo vede malevolo, come posso fare per rifarlo controllare?
Leggendo mi dice di cliccare su dettagli nei tools webmaster; il problema è che nei tools non segna ancora niente, si aggiorna con una velocità imbarazzante.
Cambiamo hosting raga, è l’unica!
Ho subito la stessa sorte su entrambi i blog che amministro. Al di là della scocciatura (e della perdita di visibilità su Google), mi chiedevo: non c’è verso di intervenire in modo collettivo verso Aruba perché sistemino il buco alla radice, invece che chiedere solo di ripulire qua e la i problemi specifici? Qualcosa simile a una class action, insomma…
Anche io vittima dello stesso attacco. Come diceva Marco, dobbiamo trovare il modo di agire contro Aruba che deve darsi una svegliata!
Ciao ho aggiunto un link a questo tuo articolo sul mio blog spero non ti dispiaccia è accaduta la stessa cosa al mio.
Buona pasqua
Maledizione, il mio sito è di nuovo considerato malevolo! Maledetta Aruba…
ciao,
anche il mio sito è stato attaccato più volte.
Anch’io non credo che dipenda dal software installato, per il mio sito non uso nessun cms o tool ‘prefabbricati’.
Oggi mi è capitato ancora e ho provato a metterci una ‘pezza’ in attesa che Aruba si svegli e faccia qualcosa.
La procedimento è molto banale e può senz’altro essere migliorato, ma ho fatto un pò di prove e sembra funzionare bene.
Ecco il codice:
//—– inizio codice —–
if(@file_exists(“mailcheck.php”)) {
// elimina il file ‘mailcheck.php’
@unlink(“mailcheck.php”);
// ripristina il file ‘index.php’
@copy(“bak.php”, “index.php”);
// invia email
$headers = ‘From: email@miosito.com‘ . “\r\n” . ‘Reply-To: email@miosito.com‘ . “\r\n” . ‘X-Mailer: PHP/’ . phpversion();
@mail(‘miaemail@miosito.com’, ‘Mailcheck fix!’, ‘Il file index.php è stato ripristinato’, $headers);
// forza il browser a ricaricare la stessa pagina
header(“location: ” . $GLOBALS["PHP_SELF"]);
// esce
exit();
}
//—– fine codice —–
Il codice va inserito all’inizio di index.php, e non fa altro che controllare l’esistenza del file mailcheck.php, se lo trova lo elimina e ripristina ‘index.php’ da un file di backup e mi invia una email per avvisarmi che il sito è stato attaccato di nuovo
Come ho già detto è una soluzione banale e sicuramente un pò rozza, ma è sempre meglio che dover andare a controllare ogni due ore.
ragazzi una curiosità ma dopo che cancello il cosice malevolo dal mio index.php il sito non è piu on line ma mi da “sito in cotruzione” come posso risolvere?
qualcuno mi puo aiutare?
grazie
Il mio sito wordpress è stato anch’esso hackerato.Avast mi ha dato il primo allarme. Ho cancellato il codice maligno riportato in testa a questo post, che ho trovato in cinque file php. Sembra essere tornato tutto a posto, ma ho cambiato pwd dell’account ftp, del database e cambiato anche i prefissi delel tabelle. Quel che mi ha più messo in allarme è l’aver trovato tra i miei utenti un nome sconosciuto loggato come amministratore! Ovviamente l’ho cancellato. Mi sono ricordato comunque di aver notato quell”email tra i miei utenti ed ho paura che un form appena creato con C-form gli abbia dato la “leva” per bucare il sito e loggarsi da utente ad amministratore, secondo voi è possibile? Cmq il sito sembra adesso pulito anche se non l’ho ancora messo online ma ho timore ad utilizzare C-form…
dimenticavo; non ho riscontrato il file “mailcheck.php”, dove dovrebbe trovarsi se ci fosse?
Di solito il file mailcheck.php viene messo dentro questa directory cgi-bin/
Capitato anche a noi. Non è la prima volta. Sia su WordPress sia sul forum phpbb 2.0
Oltre a mailcheck.php abbiamo delle infezioni nel file index.html del tema del forum.
Non riesco ancora a risolvere perchè nonostante cambi i file e rimuova lo script il problema non si risolve