E' da maggio 2010 che gira un worm sui siti in hosting di aruba. Colpisce principalmente sistemi Wordpress, Joomla! e Oscommerce: non su MdPro. Dettagli qui'.
Prognosi:
- home page con pagina bianca di hackers Algerini
- il sito sembra normale, ma andando su google.it, si vedono un sacco di link a siti che sponsorizzano Viagra, porno, ecc.
Analisi:
- è un worm che gira sui server aruba ormai da maggio 2010: non è malevolo, nel senso che non sovrascrive i files, ma aggiunge una pagina index.html che apre un file main.inc.php che a sua volta attiva due files PHP con dentro code64base direttamente eseguibile dai server aruba che attivano i link a siti spam e porno che vengono in automatico poi registrati dai motori di ricerca.
Diagnosi:
- fate comunque un backup del db.... cancellate tranquillamente i files aggiunti dal worm:
- index.html
- main.inc.php
- mani.php
- is.php
tutti i files aggiunti dal worm non hanno niente a che vedere coi sistemi attaccati, perciò è facile individuarli.
Su aruba è difficile cambiare i dati di accesso a FTP o Database: bisogna eseguire una procedura online, bisogna inviare documenti via fax, arriva la nuova password dopo giorni.....
Comunque sembra che il worm si diffonda sui server aruba, perciò cambiare i dati forse non è necessario: protestate con loro.
A. Gagliani
6183 Letture
lucamanto
10/Ago/10 13:46
lucamanto ha scritto: problema
Ma il problema è stato risolto ? Io a Giugno ho dovuto cambiare hosting.. Luca