- Home
- Categorie
- Coding e Sistemistica
- Hosting e Cloud
- Aruba hackerata?
-
Aruba hackerata?
Ho diversi siti realizzati in Wordpress su hosting linux aruba; tutti hackerati oggi.
Mi sto chiedendo s'è un problema mio o ci sono altri nella mia stessa situazione?
-
CIao,
io proverei a chiedere all'assistenza...però se condieri il fatto che su aruba un server avra' ca 900-1000 piani hosting installati...potrebbe essere qualche bug di qualcuno...anche se gira tutto in suPHP quindi il danno dovrebbe essere limitato...
-
Aruba non ha alcun comunicato in merito. Piu probabile che tu avessi falle o versioni vecchie, prova a controllare
-
Si, mi sto convincendo di essere il solo "bucato".
Avevo qualche sito con il CMS non aggiornato, ma mi sembra più probabile che sia stato violato il mio FTP... in pratica mi son trovato tutti gli index.php sostituiti con altri di codice malevolo (tant'è che anche antivir riconosce gli index come virus una volta scaricati in locale).
Ho aperto due ticket prima di postare qui, ma aruba è tristemente nota per non rispondere in giornata, questa è una delle cose che mi portano ad abbandonarla!!!
Anche perchè non mi sta piacendo la loro politica di unire gli accessi ad una sola credenziale... com'è accaduto, mi bucano un sito... e me li ritrovo tutti compromessi
Inizio a guardarmi intorno
Grazie per l'intervento!!!
-
No, no, anche a me hanno bucato tutti i domini su Aruba (tutti con wp 2.8.4) inserendo nelle pagine index.php un codice malevolo che puntava a trojan. Ho dovuto ricopiare tutti i file di wp sovrascrivendo il resto.
[...]
-
:():
Mi spiace, ma mi conforta non essere il solo.
Mi confermi che l'sql non è stato toccato?Sto procedendo al ripristino, le index sembrano intatte (anche l'output sembra pulito).
Rettifica: ho appena visto che la stringa criptata aggiunta punta ad un trojan
Ahhhhh Aruba Aruba...
-
Ho ripristinato il tutto, riporto di seguito la struttura dei files da editare (o sostituire con backup precedenti) per rendere più semplice il lavoro a chi si trova nella nostra condizione.
*
ROOT -> index.php
ROOT -> wp-admin\index.php
ROOT -> wp-admin\index-extra.php
ROOT -> wp-content\index.php
ROOT -> wp-includes\default-filters.php
ROOT -> wp-includes\default-widgets.php*Anche se aruba non ammetterà di essere la causa, ho iniziato il trasferimento dei domini... ed io che l'ho sempre difesa
Buon ripristino a tutti
-
Non conosco la situazione, ma è ovvio che dobbiate chiedere ad Aruba. In ogni caso, WP non è il sw piu sicuro presente in circolazione, per cui la prima cosa è controllare che non vi siano falle note e non ancora risolte
-
Si Ady, i miei db non sono stati toccati, ma la pwd del FTP va cambiata il più presto possibile.
@*moderatore: non pensavo che due siti inerenti al contesto potessero essere dannosi per il forum.
*
-
@Ste@HostingTalk said:
Non conosco la situazione, ma è ovvio che dobbiate chiedere ad Aruba. In ogni caso, WP non è il sw piu sicuro presente in circolazione, per cui la prima cosa è controllare che non vi siano falle note e non ancora risolte
Ho cercato in giro, ma non risultano falle note della versione attuale di WP; i link postati da Redemption mostravano come erano solo i server di aruba a soffrire di questi attacchi;
server diversi con plugin, temi... diversi.
Ogni indizio punta contro aruba...
-
Aruba mi ha chiamato discolpandosi e mettendo la colpa al cms o ad un possibile mio furto dei dati. Siamo in diversi a sostenere che il problema sia il loro ma ovviamente loro non perderanno mai reliability nei confronti degli utenti ammettendo la loro colpa.
-
Si, contrattualmente, anche nel caso fosse una falla sui server Aruba o qualsiasi altro provider, non c'è alcuna responsabilità del provider.
-
Da due giorni su uno dei miei siti Avast segnala la presenza del trojan HTML:IFrame-BW [Trj].
Il sito è in hosting Windows su Aruba, ma non uso cms: la pagina l'ho creata io e non ho mai avuto problemi del genere in passato.
-
Sei vittima anche tu
Controlla il codice dei file che risultano modificati (come data) e nel caso ripulisci o recupera dal backup se hai il servizio attivo.
Se metti un link non attivo del sito possiamo darci un'occhiata.
-
@ady said:
Adesso il problema non c'è più perché ho sovrascritto con files che avevo in locale e stupidamente non ho fatto un'analisi seria del problema: vediamo se si ripresenta. Per sicurezza ho anche cambiato password di accesso ftp.
-
Hai provato a controllare i file log? In particolare access.log? Per vedere se hanno fatto una "iniezione" di codice?
-
Con la configurazione di hosting che ho acquistato non posso vedere i log (vedo le statistiche elaborate, ma non i log originali).
-
@RoccoV said:
Da due giorni su uno dei miei siti Avast segnala la presenza del trojan HTML:IFrame-BW [Trj].
Il sito è in hosting Windows su Aruba, ma non uso cms: la pagina l'ho creata io e non ho mai avuto problemi del genere in passato.Se il tuo è un sito totalmente statico e non hai cms, difficilmente è colpa tua.
O ti han rubato gli accessi FTP (e lo puoi vedere solo dai log) o il server di Aruba ha qualche falla di tipo cross-site.Di certo, una pagina statica danni non ne può fare.
-
Non so, io sono molto attento su certe cose e inoltre se mi avessero carpito la password penso che avrebbero potuto fare cose ben diverse e anche su altri miei domini, per cui mi sentirei di escludere il "furto" di password.
-
Ciao roccov, forse su piattaforma windows il problema non è di aruba, sempre se nn hai cms. per verificare chiedi i log per email o falli scaricare in ftp dal servizio assistenza, è un'operazione di 2 forse 3 minuti per loro.
Poi nei log dovresti intanto controllare gli accessi in ftp e le varie autenticazioni fallite e non. se riscordi la pagina in questione, forse fai prima a cercare tutte le modifiche o le voci di quella pagina, escludendo le altre...