Problema hacking con javascript trojan su siti ARUBA

Rispondo ad alcuni utenti che, a vario titolo, hanno richiesto informazioni in merito ad un problema di hacking di numerosi siti web ospitati sul provider Aruba.

Ulteriori dettagli del problema sono disponibili su Siti web compromessi: Aruba vittima dell’attacco? e su Wordpress 2.8.4 Fatal error: Cannot redeclare security_update().

Brevemente: questo è un problema che continua a tartassare moltissimi utenti del servizio di hosting condiviso.
Il problema non è legato ad un CMS specifico, infatti l’attacco è stato registrato su piattaforme diverse e su implementazioni proprietarie (quindi non solo Wordpress). Il consiglio principale è quello di aggiornare le proprie piattaforme CMS all’ultima versione disponibile e controllare periodicamente i siti.

L’attacco consiste nell’upload di uno script php codificato di startup (phase1.php o altro nome) e di uno script perl di iniezione (chat.pl, o altro nome) memorizzato nel folder cgi-bin. Lo script chat.pl è una shell che consente l’upload/download (anche massive) di qualsiasi file. Questo script è richiamato manualmente o attraverso un bot.

Pur essendo questo attacco non mirato ai DB, è assolutamente consigliabile modificare la password di accesso al database del sito attaccato.

I file attaccatti sono facilmente individuabili esaminando data e orario. In generale sono tutti i file con estensione .php e .html che contengono nel nome le parole index e/o default (p.e. index.php, default-widgets.php, index-extra.php, index.html).

L’hacking può essere rimosso sovrascrivendo i file con una versione precedente e sana (per esempio da un backup settimanale).

Per i meno esperti, è consigliabile la cancellazione di tutti i file e una restore integrale dei file dall’ultimo backup sano (ovviamente questa operazione è da ponderare attentamente a seconda di come è implementato il sito; nel caso di Wordpress può essere eseguita senza timore, a patto che dopo il backup non sia stato aggiornato il WP con relativa modifica del DB).

Si consiglia di modificare la password di accesso al servizio FTP (nel caso di Aruba la richiesta di modifica è su questa pagina).

Come regola generale, nel caso d’uso di WP, è consigliabile disattivare (se non utilizzata) l’opzione “Abilitare i protocolli XML-RPC di pubblicazione WordPress, Movable Type, MetaWeblog e Blogger.” nel menu Impostazioni/Scrittura.
Altri exploit per vecchie versione di WP sono descritti su Old WordPress Versions Under Attack.

Attenzione! Il crawler di Google potrebbe riconoscere il sito attaccato come un sito con contenuti malware (rilevabile su Google Webmaster Tools), ciò alla lunga implica penalizzazioni anche in termini di posizionamento nella SERP. E’, dunque, opportuno risolvere velocemente il problema.

Anche su Aruba hackerata? si può leggere la cronaca di una serie di problemi identici. Il discorso è che il codice javascript malevolo inietta trojan diversi a seconda dei periodi in cui gli attacchi sono sferrati. La maggior parte degli antivirus AVG, Pervx, kaspersky sono in grado di rilevare questi trojan durante la navigazione.