Posted by & filed under Malware
reading time: 3 minutes

Ieri tutti i siti del mio account Aruba (per fortuna solo un account) sono stati colpiti da un virus che ha inserito in tutti gli “index.php” dei vari WordPress un codice che tentava di installarsi via Active-X del browser.

Grazie alla tempestività nella segnalazione della Marti per risolvere senza perdere troppi posizionamenti ho potuto:

  1. cambiare le password dei miei accessi (hosting, email, FTP, Database)
  2. rimuovere il virus eliminando tutto il codice pericoloso dal server
  3. trovare e tappare la falla che ha permesso l’entrata del virus o malware
  4. segnalare a Google l’avvenuta rimozione del virus
  5. (se possibile) trasferire il sito presso un hosting con controlli antivirus costanti

Per fortuna anche a Google sono stati tempestivi e il sito è stato rimosso dalla lista dei siti segnalati come infetti da malware nel giro di poche ore. Anche in questa occasione Firefox si è dimostrato più sicuro di Internet Explorer, bloccando con la tipica finestra di allarme a sfondo rosso (visibile anche su Chrome), l’esecuzione del sito per tutto il periodo in cui era stato segnalato come affetto da virus.

Attenzione utenti Windows Vista e XP

Avere installato solo Windows Defender (presente di default sul pc) non basta per i recenti virus che possono agire anche tramite Firefox. Consiglio a tutti l’installazione immediata e aggiornata di Microsoft Security essentials. Ecco come si presenterà la notifica di un virus “bloccato”: security-essentials

Questa finestra di allarme viene visualizzata appena aperta una pagina web riesce ad effettuare il download di un file sospetto (di solito .exe) nella vostra directory Temp locale (di solito C:\Users\nome-utente\AppData\Local\Temp)

Aggiornamento 7 maggio 2010:

ho cambiato hosting

Aggiornamento 30 aprile 2010:

troppo infelice per il supporto di Aruba, sto iniziando la migrazione dei miei siti

Aggiornamento 29 aprile 2010:

il virus VirTool:JS/Obfuscator.M sembra essere particolarmente comune sui server Aruba, è facilmente individuato e rimosso (lato browser Firefox viene facilmente infettato) con Windows Security Essentials.

Aggiornamento 1 aprile 2010:

E’ ricapitato ieri sugli stessi domini per i quali avevo cambiato la password. Ho trovato questa bellissima guida sulla rimozione dei malware che vi consiglio, e ho installato Windows One Care, Hitman PRO, Bit Defender versione free, Microsoft Security essentials, Malwarebytes. Tutti questi software hanno rilevano files “sospetti” sul mio computer e nessun virus.

Aggiornamento 20 marzo 2010:

Purtroppo Aruba non ha voluto consegnare i log degli accessi al mio FTP (il ticket dell’assistenza tecnica mi dice che li consegnano solo col mandato delle autorità giudiziarie) e non ho potuto verificare da dove sono entrati gli hacker.

6 Responses to “Virus sui server Aruba: ecco come ho pulito il mio sito”

  1. chry

    hanno bucato anke i miei siti…
    proprio oggi.

    e cercando tra le possibili soluzioni ho trovato il tuo sito….

    peccato che mi sia accorto che anche tu sia stato nuovamente colpito…

    qualcosa non va…. e credo sia su ARUBA e non sui nostri siti.

    un saluto
    Chry

  2. simone

    ciao Chry
    grazie della segnalazione! ora dovrebbe essere tutto ok (per l’ennesima volta)
    era lo stesso virus della volta scorsa, ora rifarò lo stesso iter con tanto di cambio pass e lamentele ad Aruba.it

  3. simone

    Ho chiesto i log al trouble ticketing di Aruba, dato che altri 2 amici hanno avuto lo stesso virus sui loro domini. Purtroppo lo staff di Aruba non può fornire log sugli accessi ai server se non in presenza di una richiesta delle autorità.

  4. Antonio

    problemi analoghi, rimesso in linea sul mio sito una pagina “pulita”, in due giorni di nuovo infetta….
    Ma il virus è JS/Obfuscator.M per caso???

  5. Claudio (starwebstudio)

    Problema identico al vostro: nel giro di due settimane i miei siti, 112 per l’esattezza, sono stati infettatti per la seconda volta e tutti su server Aruba.

  6. simone

    ciao Claudio, grazie per la segnalazione, sono appena venuto sul tuo sito per curiosità e in effetti Microsoft Security Essentials mi ha segnalato la presenza di VirTool:JS/Obfuscator.M