+ Rispondi alla Discussione
Risultati da 1 a 38 di 38

Aruba hackerata?

Ultimo Messaggio di HelloItaly il:
  1. #1
    ady  offline
    Utente Premium L'avatar di ady
    Data Registrazione
    Oct 2008
    Localit
    Cusano Mutri
    Messaggi
    190

    Aruba hackerata?

    Ho diversi siti realizzati in Wordpress su hosting linux aruba; tutti hackerati oggi.

    Mi sto chiedendo s' un problema mio o ci sono altri nella mia stessa situazione?
    Ultima modifica di Google : 25-04-12 00:00

  2. #2
    Moderatore L'avatar di vhosting
    Data Registrazione
    Jan 2009
    Localit
    Palermo
    Messaggi
    2,846
    Aggiungi vhosting su Facebook
    CIao,

    io proverei a chiedere all'assistenza...per se condieri il fatto che su aruba un server avra' ca 900-1000 piani hosting installati...potrebbe essere qualche bug di qualcuno...anche se gira tutto in suPHP quindi il danno dovrebbe essere limitato...

  3. #3
    User L'avatar di Ste@HostingTalk
    Data Registrazione
    Jul 2006
    Localit
    Como-Italia
    Messaggi
    532
    Aruba non ha alcun comunicato in merito. Piu probabile che tu avessi falle o versioni vecchie, prova a controllare
    HostingTalk.it Parliamo di Hosting

  4. #4
    ady
    ady  offline
    Utente Premium L'avatar di ady
    Data Registrazione
    Oct 2008
    Localit
    Cusano Mutri
    Messaggi
    190
    Si, mi sto convincendo di essere il solo "bucato".

    Avevo qualche sito con il CMS non aggiornato, ma mi sembra pi probabile che sia stato violato il mio FTP... in pratica mi son trovato tutti gli index.php sostituiti con altri di codice malevolo (tant' che anche antivir riconosce gli index come virus una volta scaricati in locale).

    Ho aperto due ticket prima di postare qui, ma aruba tristemente nota per non rispondere in giornata, questa una delle cose che mi portano ad abbandonarla!!!
    Anche perch non mi sta piacendo la loro politica di unire gli accessi ad una sola credenziale... com' accaduto, mi bucano un sito... e me li ritrovo tutti compromessi

    Inizio a guardarmi intorno

    Grazie per l'intervento!!!
    Ultima modifica di Google : 25-04-12 00:00

  5. #5
    Utente Premium
    Data Registrazione
    Nov 2008
    Messaggi
    269
    No, no, anche a me hanno bucato tutti i domini su Aruba (tutti con wp 2.8.4) inserendo nelle pagine index.php un codice malevolo che puntava a trojan. Ho dovuto ricopiare tutti i file di wp sovrascrivendo il resto.

    [...]
    Ultima modifica di lorenzo-74; 06-10-09 alle 20:23 Motivo: punto 7.1 del regolamento generale del forum.

  6. #6
    ady
    ady  offline
    Utente Premium L'avatar di ady
    Data Registrazione
    Oct 2008
    Localit
    Cusano Mutri
    Messaggi
    190


    Mi spiace, ma mi conforta non essere il solo.
    Mi confermi che l'sql non stato toccato?

    Sto procedendo al ripristino, le index sembrano intatte (anche l'output sembra pulito).


    Rettifica: ho appena visto che la stringa criptata aggiunta punta ad un trojan


    Ahhhhh Aruba Aruba...
    Ultima modifica di Google : 25-04-12 00:00

  7. #7
    ady
    ady  offline
    Utente Premium L'avatar di ady
    Data Registrazione
    Oct 2008
    Localit
    Cusano Mutri
    Messaggi
    190
    Ho ripristinato il tutto, riporto di seguito la struttura dei files da editare (o sostituire con backup precedenti) per rendere pi semplice il lavoro a chi si trova nella nostra condizione.

    ROOT -> index.php
    ROOT -> wp-admin\index.php
    ROOT -> wp-admin\index-extra.php
    ROOT -> wp-content\index.php
    ROOT -> wp-includes\default-filters.php
    ROOT -> wp-includes\default-widgets.php


    Anche se aruba non ammetter di essere la causa, ho iniziato il trasferimento dei domini... ed io che l'ho sempre difesa

    Buon ripristino a tutti
    Ultima modifica di Google : 25-04-12 00:00

  8. #8
    User L'avatar di Ste@HostingTalk
    Data Registrazione
    Jul 2006
    Localit
    Como-Italia
    Messaggi
    532
    Non conosco la situazione, ma ovvio che dobbiate chiedere ad Aruba. In ogni caso, WP non il sw piu sicuro presente in circolazione, per cui la prima cosa controllare che non vi siano falle note e non ancora risolte
    HostingTalk.it Parliamo di Hosting

  9. #9
    Utente Premium
    Data Registrazione
    Nov 2008
    Messaggi
    269
    Si Ady, i miei db non sono stati toccati, ma la pwd del FTP va cambiata il pi presto possibile.

    @moderatore: non pensavo che due siti inerenti al contesto potessero essere dannosi per il forum.

  10. #10
    ady
    ady  offline
    Utente Premium L'avatar di ady
    Data Registrazione
    Oct 2008
    Localit
    Cusano Mutri
    Messaggi
    190
    Citazione Originariamente Scritto da Ste@HostingTalk Visualizza Messaggio
    Non conosco la situazione, ma ovvio che dobbiate chiedere ad Aruba. In ogni caso, WP non il sw piu sicuro presente in circolazione, per cui la prima cosa controllare che non vi siano falle note e non ancora risolte
    Ho cercato in giro, ma non risultano falle note della versione attuale di WP; i link postati da Redemption mostravano come erano solo i server di aruba a soffrire di questi attacchi;
    server diversi con plugin, temi... diversi.
    Ogni indizio punta contro aruba...
    Ultima modifica di Google : 25-04-12 00:00

  11. #11
    Utente Premium
    Data Registrazione
    Nov 2008
    Messaggi
    269
    Aruba mi ha chiamato discolpandosi e mettendo la colpa al cms o ad un possibile mio furto dei dati. Siamo in diversi a sostenere che il problema sia il loro ma ovviamente loro non perderanno mai reliability nei confronti degli utenti ammettendo la loro colpa.

  12. #12
    User L'avatar di Ste@HostingTalk
    Data Registrazione
    Jul 2006
    Localit
    Como-Italia
    Messaggi
    532
    Si, contrattualmente, anche nel caso fosse una falla sui server Aruba o qualsiasi altro provider, non c' alcuna responsabilit del provider.
    HostingTalk.it Parliamo di Hosting

  13. #13
    User L'avatar di RoccoV
    Data Registrazione
    Oct 2009
    Messaggi
    25
    Da due giorni su uno dei miei siti Avast segnala la presenza del trojan HTML:IFrame-BW [Trj].
    Il sito in hosting Windows su Aruba, ma non uso cms: la pagina l'ho creata io e non ho mai avuto problemi del genere in passato.

  14. #14
    ady
    ady  offline
    Utente Premium L'avatar di ady
    Data Registrazione
    Oct 2008
    Localit
    Cusano Mutri
    Messaggi
    190
    Sei vittima anche tu

    Controlla il codice dei file che risultano modificati (come data) e nel caso ripulisci o recupera dal backup se hai il servizio attivo.
    Se metti un link non attivo del sito possiamo darci un'occhiata.


    Ultima modifica di Google : 25-04-12 00:00

  15. #15
    User L'avatar di RoccoV
    Data Registrazione
    Oct 2009
    Messaggi
    25
    Citazione Originariamente Scritto da ady Visualizza Messaggio
    ****
    Adesso il problema non c' pi perch ho sovrascritto con files che avevo in locale e stupidamente non ho fatto un'analisi seria del problema: vediamo se si ripresenta. Per sicurezza ho anche cambiato password di accesso ftp.
    Ultima modifica di Wolf Otakar; 08-10-09 alle 11:26 Motivo: Quote inutile!

  16. #16
    Moderatore L'avatar di vhosting
    Data Registrazione
    Jan 2009
    Localit
    Palermo
    Messaggi
    2,846
    Aggiungi vhosting su Facebook
    Hai provato a controllare i file log? In particolare access.log? Per vedere se hanno fatto una "iniezione" di codice?

  17. #17
    User L'avatar di RoccoV
    Data Registrazione
    Oct 2009
    Messaggi
    25
    Con la configurazione di hosting che ho acquistato non posso vedere i log (vedo le statistiche elaborate, ma non i log originali).
    Ultima modifica di Wolf Otakar; 08-10-09 alle 11:28 Motivo: Quote inutile!

  18. #18
    Non iscritto
    Data Registrazione
    May 2009
    Messaggi
    159
    Citazione Originariamente Scritto da RoccoV Visualizza Messaggio
    Da due giorni su uno dei miei siti Avast segnala la presenza del trojan HTML:IFrame-BW [Trj].
    Il sito in hosting Windows su Aruba, ma non uso cms: la pagina l'ho creata io e non ho mai avuto problemi del genere in passato.
    Se il tuo un sito totalmente statico e non hai cms, difficilmente colpa tua.
    O ti han rubato gli accessi FTP (e lo puoi vedere solo dai log) o il server di Aruba ha qualche falla di tipo cross-site.

    Di certo, una pagina statica danni non ne pu fare.

  19. #19
    User L'avatar di RoccoV
    Data Registrazione
    Oct 2009
    Messaggi
    25
    Non so, io sono molto attento su certe cose e inoltre se mi avessero carpito la password penso che avrebbero potuto fare cose ben diverse e anche su altri miei domini, per cui mi sentirei di escludere il "furto" di password.
    Ultima modifica di Wolf Otakar; 08-10-09 alle 11:29 Motivo: Quote inutile.

  20. #20
    User L'avatar di Inwebadriatico
    Data Registrazione
    Mar 2009
    Messaggi
    33
    Ciao roccov, forse su piattaforma windows il problema non di aruba, sempre se nn hai cms. per verificare chiedi i log per email o falli scaricare in ftp dal servizio assistenza, un'operazione di 2 forse 3 minuti per loro.
    Poi nei log dovresti intanto controllare gli accessi in ftp e le varie autenticazioni fallite e non. se riscordi la pagina in questione, forse fai prima a cercare tutte le modifiche o le voci di quella pagina, escludendo le altre...
    Inwebadriatico.it ISP Hosting Domini Server

  21. #21
    User L'avatar di RoccoV
    Data Registrazione
    Oct 2009
    Messaggi
    25
    Citazione Originariamente Scritto da Inwebadriatico Visualizza Messaggio
    [***]
    La pagina infetta me la ricordo bene perch era proprio la pagina di apertura del sito (index.htm).

    Per adesso mi venuta in mente una cosa: c' una sezione del sito (in una cartella a parte, ma sempre nello stesso dominio del sito) che basata sul cms open source dblog.
    Non mi era venuto in mente prima perch si tratta di una piccola sezione del sito e inoltre l'unica pagina che dava la presenza del trojan era index.htm che non ha niente a che fare con il cms.
    Pu il problema essere partito dal cms ma manifestandosi su una pagina esterna allo stesso?
    Ultima modifica di Leonov; 08-10-09 alle 21:58 Motivo: Quote inutile.

  22. #22
    User L'avatar di RoccoV
    Data Registrazione
    Oct 2009
    Messaggi
    25
    Ho spiegato al provider il problema e ho chiesto se fosse possibile vedere i log del 6/7 ottobre per capire se ci fosse stata violazione del mio account, ma Aruba mi ha risposto che da contratto i log possono essere richiesti solo ed esclusivamente dalle Autorit Giudiziarie quando l'eventuale azione malevola non scaturita dalla presenza di vulnerabilit dell'applicativo usato.

  23. #23
    User L'avatar di Inwebadriatico
    Data Registrazione
    Mar 2009
    Messaggi
    33
    Ciao, non certo una risposta molto esaustiva, ma classico di aruba, comunque vero che non si possono fornire i log a tutti ma solo alle autorit ma se i log sono del mio sito, ed io ne sono il proprietario ho la facolt legale di poterli vedere... forse qui possono darci una mano i legali che rispondono su giorgiotave.it
    Ultima modifica di Wolf Otakar; 09-10-09 alle 10:02 Motivo: Maiuscola!
    Inwebadriatico.it ISP Hosting Domini Server

  24. #24
    User L'avatar di Inwebadriatico
    Data Registrazione
    Mar 2009
    Messaggi
    33
    Dimenticavo, per poter affermare che l'azione malevola non scaturita dalla presenza di vulnerabilit dell'applicativo usato, vuol dire che qualcuno ha letto i log, altrimenti come fanno ad affermare una cosa simile?
    Ultima modifica di Wolf Otakar; 09-10-09 alle 10:03 Motivo: Maiuscola!
    Inwebadriatico.it ISP Hosting Domini Server

  25. #25
    User Newbie
    Data Registrazione
    Oct 2009
    Messaggi
    1
    Ciao ragazzi


    Sono anche io vittima di questa infezione: HTML:IFrame-BW [Trj]
    Ho un sito web hostato su aruba, precisamente hosting linux.

    Da diversi giorni gli utenti mi stanno segnalando la presenza di questo virus. Infatti, avast non fa nemmeno accedere al sito.

    Sto perdendo una marea di utenti per colpa di questa infezione.

    Ogni volta che riuppo la pagina index pulita, dopo pochi minuti risulta di nuovo infetta. Inoltre nell'ftp, la pagina risulta modificata ad un orario in cui io non sono al pc. Quindi c' una specie di bot dietro.

    Ho anche cambiato password dell'ftp, ma il problema si ripresenta lo stesso.

    Ho effettuato scansioni etc, ma niente!
    Eppure, non ho script installati sul sito! E' in php, ma non ha script!

    Avete trovato una soluzione?
    Pochi minuti fa ho inviato un ticket ad aruba..

  26. #26
    User L'avatar di RoccoV
    Data Registrazione
    Oct 2009
    Messaggi
    25
    Citazione Originariamente Scritto da SnakeMG Visualizza Messaggio
    [***]
    Come ho scritto pi sopra io ho avuto lo stesso tuo problema (anch'io alla pagina index).
    Da quando ho inviato il ticket di assistenza il problema non si pi presentato (anche se Aruba non ha ammesso alcuna colpa).
    Spero che anche a te succeda la stessa cosa.
    Ultima modifica di Leonov; 12-10-09 alle 08:03 Motivo: Si prega di evitare quote inutili: usare il tasto 'Rispondi' per replicare ad un post precedente.

  27. #27
    mb
    mb  offline
    User Newbie
    Data Registrazione
    Oct 2009
    Messaggi
    1
    Giusto per unirmi a voi: tra il 6-7 ottobre tutti gli index (.php, .htm e .html) sono stati modificati con l'aggiunta di un codice identificato come malevolo da molti antivirus.

    Ovviamente sito su aruba, ma hosting linux...
    unica applicazione complessa: phpbb.

    Ciao,

    Manu

  28. #28
    User L'avatar di RoccoV
    Data Registrazione
    Oct 2009
    Messaggi
    25
    Dopo l'ennesima testimonianza credo non possano esserci pi dubbi: stato un problema generale del provider.

  29. #29
    User
    Data Registrazione
    Feb 2009
    Messaggi
    94
    In attesa del cambio di credenziali (ho chiesto anche la login diversa) ho il sito down dalla scorsa settimana pure io (4 siti infettati sotto la stessa login, di cui uno in html e 3 in Wordpress)
    Posizionamento Zen - la SEO senza stress

  30. #30
    Esperta L'avatar di cassiopea
    Data Registrazione
    Jan 2006
    Localit
    Verona
    Messaggi
    1,833
    Scusa cos' un sito Avast?
    Come hai fatto a vedere il virus se la pagina statica?

  31. #31
    User L'avatar di RoccoV
    Data Registrazione
    Oct 2009
    Messaggi
    25
    Citazione Originariamente Scritto da cassiopea Visualizza Messaggio
    Scusa cos' un sito Avast?
    Come hai fatto a vedere il virus se la pagina statica?
    Avast un antivirus installato sul mio PC che al momento di collegarmi alla pagina index.htm del mio sito mi segnalava la presenza del trojan e per impedire l'infezione non mi permetteva di collegarmi a quella pagina del sito.

  32. #32
    xpx
    xpx  offline
    Moderatore
    Data Registrazione
    Dec 2006
    Localit
    Roma
    Messaggi
    978
    Stessa cosa successa me: solo sui siti hostato su linux, di cui 3 wordpress, ho ripristinato i files corrotti. Nel mio caso solo gli index delle directory principali.

  33. #33
    Utente Premium
    Data Registrazione
    May 2005
    Localit
    Tenerife
    Messaggi
    357
    Eccomi qui, mi unisco a voi, sito su aruba che puntualmente viene hackato, addirittura per un p google mi aveva segnalato il sito come pericoloso e si persa una giornata di visite.
    A questo punto trasferisco tutti i siti.

  34. #34
    Moderatore L'avatar di vhosting
    Data Registrazione
    Jan 2009
    Localit
    Palermo
    Messaggi
    2,846
    Aggiungi vhosting su Facebook
    Ciao,

    il fatto che aruba mette molti siti sulla stessa macchina e questo ovviamente pu provocare problemi, inoltre il WP andrebbe a mio avviso aggiornato ad ogni rilascio

    Ciao a tutti.

  35. #35
    Utente Premium
    Data Registrazione
    May 2005
    Localit
    Tenerife
    Messaggi
    357
    Citazione Originariamente Scritto da vhosting Visualizza Messaggio
    [***]
    Il fatto di mettere molti siti sulla stessa macchina penso sia normale ma ci dovrebbe essere una protezione in modo che se accedi ad un sito non puoi "passare" agli altri.
    Ultima modifica di Leonov; 31-10-09 alle 09:54 Motivo: Maiuscola. Quote inutile.

  36. #36
    Moderatore L'avatar di vhosting
    Data Registrazione
    Jan 2009
    Localit
    Palermo
    Messaggi
    2,846
    Aggiungi vhosting su Facebook
    Ciao,

    normale nel caso in cui viene fatto overselling massivo. Le protezioni esistono...infati non sicuro che siano passati da altri siti verso il tuo account ma potrebbe essere anche un problema del WP con un bug comune.

    Aruba che io sappia ha molte protezioni nei suoi server.

    Ciao.

  37. #37
    Utente Premium
    Data Registrazione
    May 2005
    Localit
    Tenerife
    Messaggi
    357
    Potrebbe anche essere..ora che ci penso da poco ho creato un sito con wordpress, sempre con la login comune e da l questi fenomeni si sono intensificati..la cosa strana per che il sito con wp non stato toccato e invece hanno manomesso gli index.php di alcuni altri siti..

  38. #38
    User
    Data Registrazione
    Mar 2010
    Messaggi
    16
    E HACKATA !!! Coinfermo pure oggi da interno o da qualche sito hackato che stava nello stesso piano !!! mi ha minacciata !!!! pure i files index.html index.php nella ROOT ! UFfaaaaaa devo trasferirmi da aruba perche nn e possibbile tutto questooo

+ Rispondi alla Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] Attivato
  • Il codice [VIDEO] Attivato
  • Il codice HTML Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.