| HT news
| Webhosting ItalianoI server di Aruba colpiti da malware?
di Stefano Bellasio
Come segnalato da alcuni utenti in una discussione sulla community di HostingTalk.it e confermato da un articolo di PCAlSicuro.it, sembra che un attacco di malware abbia colpito i server di Aruba, dopo che diversi siti hanno trovato all'interno delle proprie pagine lo stesso codice javascript offuscato, responsabile di infettare gli stessi siti.
L'articolo propone una lunga lista di siti web che sarebbero stati infettati, e nei commenti si ha la conferma da parte di alcuni lettori. Il sito Anti-pishing.it, una delle risorse italiane più note in merito, è stato attaccato e compromesso proprio negli scorsi giorni, e lo stesso sito è ospitato su un servizio di shared hosting Aruba. Citando direttamente dall'articolo di Pcalsicuro.it scopriamo come viene eseguito l'attacco: "l dropper scaricato nel PC della vittima attraverso gli exploit è al momento individuato, stando ad una scansione su VirusTotal, da soli 10 antivirus su 41 testati. Una volta eseguito, si connette all’indirizzo IP 72.51.41.83 da dove scarica la seconda parte dell’infezione, che si occuperà di installare il rootkit vero e proprio." Il rootkit che viene installato è il noto MBR rootkit.
Come giustamente si fa notare appare difficile pensare ad una compromissione dei server Aruba, i siti web colpiti rispondono tutti a IP diversi, quindi a macchine diverse che difficilmente possono esser state bucate con troppa facilità. Potrebbe trattarsi invece di un attacco mirato ad alcuni siti web, probabilmente i più visitati dato che si trovano coinvolti anche quelli di alcuni politici. Nei commenti all'articolo si leggono le testimonianze di molti clienti che dicono di essere stati colpiti, trovando all'interno delle loro pagine il codice malevolo.
Anche all'interno del forum di Aruba alcuni clienti hanno segnalato la vicenda, senza però ottenere risposta dal provider toscano, che nel frattempo non ha rilasciato alcun comunicato in merito. Secondo alcune stime sarebbero più di 100 i siti web colpiti, e in alcuni casi pare difficile pensare ad una falla all'interno degli stessi data la presenza di sole pagine di presentazione o addirittura index completamente vuote.
Non è la prima volta che questi attacchi colpiscono grandi provider italiani, in passato ciò era già accaduto, ma era stato subito notificato dalle stesse aziende che avevano anche provveduto a verificare eventuali falle sulle loro macchine.
Powered by Disqus