E' da maggio 2010 che gira un worm sui siti in hosting di aruba. Colpisce principalmente sistemi Wordpress, Joomla! e Oscommerce: non su MdPro. Dettagli qui'.
Prognosi:
- hai la home page con pagina bianca di hackers Algerini
- il sito sembra normale, ma se vai su google.it, vedi un sacco di link a siti che sponsorizzano Viagra, porno, ecc.
Analisi:
- è un worm che gira sui server aruba ormai da maggio 2010: non è malevolo, nel senso che non sovrascrive i files, am aggiunge una pagina index.html che apre un file main.inc.php che a sua volta attiva due files PHP con dentro code64base direttamente eseguibile dai server aruba che attivano i link a siti spam e porno che vengono in automatico poi registrati dai motori di ricerca.
Diagnosi:
- fate comunque un backup del db.... cancellate tranquillamente i files aggiunti dal worm:
- index.html
- main.inc.php
- mani.php
- is-php
tutti i files aggiunti dal worm non hanno niente a che vedere coi sistemi attaccati, perciò è facile indiviuarli.
Su aruba è difficile cambiare i dati di accesso a FTP o Database: bisogna eseguire una procedura online, bisogna inviare documenti via fax, arriva la nuova password dopo giorni.....
Comunque sembra che il worm si diffonda sui server aruba, perciò cambiare i dati forse non è necessario: protestate con loro.
A. Gagliani
410 Letture
|
|
Non sei ancora registrato?
La registrazione è gratuita e necessita solo di qualche minuto.
Per altre informazioni cliccate qui -Password dimenticata? cliccate qui.