Attacco a Wordpress su Aruba: pagina bianca e codice maligno.
5 Novembre, 2009 articolo scritto da Salvo Grasso
Già da ieri sera circolavano voci di attacchi multipli ai siti e blog realizzati su wordpress, così mi sono precipitato subito a controllare alcuni siti che gestisco ed 1 di questi era stato già attaccato con successo.
L’attacco consiste nella sovrascrittura di codice maligno in alcune pagine del sito, tra le più colpite il file index.php che generalmente è la home page del sito/blog. Il risultato è che l’utente che visita il sito trova una pagina bianca.
Durante la notte sembra che si siano scatenati e stamattina 9 dei miei siti su circa 30 erano già stati “bucati”.
Mi sono chiesto come mai proprio quei 9 e non gli altri. Qual’è il criterio?
Forse la versione di Wordpress, oppure qualche plugin a rischio, o forse l’impostazione dei commenti…
Nulla di tutto questo, dalle mie verifiche è chiaro che il problema sia dato dalla combinazione Wordpress su server Aruba.
Non può essere soltanto una curiosa combinazione che soltanto quei 9 blog su aruba sono stati TUTTI attaccati dallo script maligno mentre gli altri blog residenti su altri hosting non sono stati minimamente colpiti.
In alcuni blog ho letto che soltanto wordpress 2.8.4 è vulnerabile ma nel mio caso non è così, infatti anche versioni precedenti hanno subito l’attacco con la sovrascrittura del codice maligno.
Non ho notato alcuna manomissione a password, profili utenti, e mysql.
Grazie ai consigli riportati in questa pagina ho già sistemato tutti i siti ma da parte di Aruba assitenza = 0.
Grazie alle informazioni pubblicate su questo blog sono riuscito a rimettere tutto su nel giro di 2 ore, ma vogliamo parlare del supporto tecnico di aruba?
Ho chiesto spiegazione via ticket e anche via telefono allo staff tecnico di Aruba in quale ha risposto di re-installare wordpress. Peccato che questo è solo un modo per farsi attaccare di nuovo, in quanto il problema sembra essere dovuto a falle di sicurezza del server e non di WP.
Ancora una volta verrebbe da dire Aruba che la sicurezza e il supporto di Aruba sono davvero terra terra. Esprimo un parere personale, in qualità di sfortunatissimo cliente di Aruba.
La domanda allo stato attuale sono due:
1. Come sono riusciti ad sovrascrivere il codice maligno lato web?
2. Come evitare che accada ancora?
Terrò questa pagina aggiornata man mano che vengo a conoscenza di ulteriori sviluppi.
Condividi questo articolo:
La mia esperienza personale riporta che:
- 2 dei miei 7 blog su aruba sono stati attaccati.
a cui accedo con lo stesso user e password ma non supportano wordpress sono stati attaccati con successo.
- Altri siti (in totale altri
- i 2 blog hanno versioni differenti di wordpress.
- assistenza di aruba pessima; davano colpa al dun presunto malware che si era installato sul mio pc e scaricavano tutta la colpa dell’attacco a WP e non ai server aruba.
Ho sitemato tutto adesso (spero), seguendo i consigli riportati nel blog da te indicato, ma veramente ci ho perso una giornata a scaricare, correggere ed uplodare di nuovo i file ripristinati…
Almeno dicessero “Avete ragione, ci hanno bucato i server…”. E invece no, ci fanno anche ammattire cercando i problemi altrove, quando il problema principale sono loro…
Buon ripristino a tutti…
Ciao,
si confermo che da Aruba ho ricevuto la stessa ridicola risposta, ovviamente loro negano su tutta la linea e non danno alcuna comunicazione ufficiale.
Beh, non mi sono fermato qui.
Dopo diversi ticket e telefonate sono riuscito a parlare con un responsabile al quale ho chiarito il concetto che il problema NON è wordpress e non sono gli ipotetici malware ma le loro falle di sicurezza. Non mi ha risposto, il che mi sa tanto di tacito assenso…
Comunque, ho richiesto il giorno stesso tutti gli Auth code per trasferire tutti i miei siti altrove, entro la settima “Adios” Aruba. Dopo un tale disservizio non posso rischiare altri black-out !