Aruba bucata: la storia si ripete
19 June, 2007 | da gioxx |Correva l’anno 2004 d.C. Quel pomeriggio la rete era in fermento ed il sesto senso aveva quella percezione di qualcosa “di sbagliato” nell’aria. Non è la trama di un film horror… è solo la soddisfazione di un povero pirla pseudo-tecnico/sistemista che durante tutto questo tempo ha sempre ripetuto che di Aruba non c’è da fidarsi assolutamente. Frotte di conoscenti, amici, blogger e chi più ne ha più ne metta, continuava a ripetere di trovarsi particolarmente bene con l’azienda aretina leader del settore italiano.
“Poveri stolti. E’ solo questione di tempo“. Una frase che ho ripetuto più di una volta. Aruba è ufficialmente entrata nelle blacklist del sottoscritto da quando subì quel mass-deface nel 2004. Migliaia di siti devastati da un solo script lanciato dopo aver ottenuto i diritti di root su una macchina (e da quella alle altre nello stesso identico modo). Non pensavo potesse succedere ancora o almeno non subito. Ultime parole famose.
Stamattina in azienda abbiamo ricevuto la lista completa dei siti bucati. Stavolta niente deface. Solo un simpaticissimo iframe con codice di installazione automatica del trojan di turno. Una sana coltivazione di PC zombie da sfruttare per futuri attacchi.
Il codice dell’iFrame è particolarmente semplice e preciso (come da immagine), i codici maligni inseriti sono i seguenti:
Clicca per ingrandire
Per difendere i vari clienti dai potenziali problemi che tali siti possono ancora arrecare, parecchie aziende hanno deciso di inserire l’intera lista nei filtri di Squid e dei proxy server in generale. Dal canto mio ho già provveduto ad inserire le 464 vittime negli “squid filters” di 3 clienti. So che i webmaster non c’entrano nulla e che la colpa è come al solito di Aruba, ma non ci si può permettere la minima distrazione, altrimenti si rischia di dover rimettere a posto decine di client.
Dell’evento ne parla anche Symantec che riporta il tutto con un apposito documento:
symantec.com/…/2007/06/italy_under_attack_mpack_gang.html
La lista completa dei domini è disponibile leggendo tutto il post (così da evitare di farvi arrivare la pagina alle stelle) ! 
Che dire se non “Ve lo avevo detto“? 
Se trovate il vostro dominio tra questi, cominciate a preoccuparvi (c’è anche il Cinema City di Ravenna 
)
.lnx.roombashop.it/catalog .24-italia.it .PETIT.IT .abbicci.info/blank.htm .absentialunae.com .accademiadistresa.com .accessoripista.com .adeclan.com/Forum .adriahotel.it .afroaid.net .agenziaabita.it .agrikarma.it .aibs.it .akita.it .alarmbandjes.com .albatros-hotel.it .albergodellalunetta.it .alessandromario.com .alessandrosiani.it .alexbaldi.it .algiardinodeilimoni.it .alkonetara.org .allevamento-bulldog.com .allevamentobrunner.it .allstarteam.it .almogavares.org .altopianodipine.com .altracitta.org .altrarte.info .analistgroup.it .anarda.net .andresantamarta.com .angelibuoni.it .angeluccicicli.it .angolostefania.it .animalsplanet.net .annuncidellest.com .arcipelagoegadi.it .arquiteca.com .arrampicata.net .arrivanodalmare.it .ascii.it .associazionelagunari.it .astroteamrg.net .astroteamrg.net/AstroteamWeb/index.php .astroteamrg.net/foro .autolineemoretti.it .avellinoclubcambiano.it .aviopress.com .babaschess.net .baiadeglidei.com .bamboleincantate.com .barbaratampieri.com .barbeque.it .barforzalupi.it .barrumba.com/biglietteria/index.php?area=1 .basilicatanet.tv .baslug.org/vega/index.php?p=nvidia .baslug.org/vega/index.php?p=wifi .bastinside.com .bedandbreakfastmarco.com .belenistasdelaisla.com .beltane.it .bersus.info/index.htm .bertolifansclub.org .betamontecarlo.it .biescrew.com .blackout-zero.com .blue-angels.it .blumaremma.it .bmurdaneta.com .borgodiceri.it .boscardin.it .boxertanza.it .boys-san.it .broccias.net .brokenknuckle.com .burningblood.it .caffeilchicco.it .cailaquila.it .calamolinella.it .calciodilettante.org .caltabellotta.com .camariaadele.it .camperhouse.com .camping-montescudaio.it .campingleginestre.it .campogulliver.it .caprillina.it .car-tuning.it .carbike.it .carloscastaneda.it .casacelestino.it .casaporta.com .casedisicilia.it .castellotorcrescenza.com .castromocho.com .catholicfraternity.net .catholicpressphoto.com .cblucentum.net .cbsab.com .centrautoportuense.it .cerchinelgrano.info .chamallex.com .chatjennifer.com .chemi-vit.com .chiappesode.it .ciclidiepiranha.net .ciclimatteoni.com .cicoandcico.com .cif.it .cinearcobaleno.com .cinemacity.it .cinziaricci.it .circuitodipomposa.com .claudiosantinelli.com .club206cc.it .clubdogo.org .clubmini.it .comet.it .comune.bisignano.cs.it .corsaclub.it .corveleno.com .costadelsud.it .crashauto.it .crupisgallery.it .ctbastoni.com .cubanite.com .cusinelli-liste.it .danzaclassica.net .darklunacy.com .deandretribute.net .deltaservizi.net .dercot.com .despelotetotal.com .devilszone.com .digitaltuning.it .dilea.it .dire-straits.it .discotecalafabbrica.it .dojinshi.biz .donnedive.com .dsquared2.com .ducatimilano.com .dueruoterent.com .easycaritalia.it .ebansrl.com .edomestre.com .elmp3.com .enduristianonimi.it .enzofalivene.it .eolclub.com .eolienelmondo.it .esperiaristorazione.it .essendemme.com .eukalypto.it .euromediterraneonews.it .euromotel.net .exogini.com .exporockmusic.com .extremeworks.it .fanodisc.com .farfalleincammino.org .fazer-hispania.com .fdl1970.net .ferodoracing.it .ferroviadelbernina.it .fiammamonza.it .figccarbonia.it .filipposcozzari.org .flamarvacanze.com .floriterapia.com .foersterhaus.it .foillia.it .footvolley.info .format-group.it .fuorisacco.it .fusaromoto.it .gaproma.it .gardenrose.it .garganoresidenceliberato.it .gernikasaski.com .gfzshoes.it .giancarlopagliarini.it .gioiosa.net .gioventubiancorossa.it .girsacrew.it .giulivo.it .gloss.it .golfugolino.it .grigiorossi.it .grottagliebynight.com .hardfighting.com .harley-davidson-civitanova.it .hellnation.it .hl4ever.net/?sub=seccion&sid=om&pid=om-esf .hobbygrafico.it .hotelapogeo.it .hotelbaviera.com .hotelcapoduomo.com .hotelcomo.net .hotelcrocedimalta.net .hoteldeigiovi.it .hoteldellestelle.it .hotelkingmilano.com .hotellidocattolica.com .hotelmiralisa.com .hotelmirella.it .hotelrosapineta.com .ibimus.it .icwwrestling.it .identitalucana.it .il91.it .ilcittadinodimessina.it .ilpaliodisiena.com .ilportalesardo.it .ilricettariodibianca.it .impariamoascrivere.it .indrema.it .infojudo.com .inuyasha1.it .ipsssmontagna.it .isoladelgiglio.biz .isolarossanet.com .italialavorosicilia.it .jacklabolina.it .jacksonland.it/shop .joebabes.com .k2r.it .karaoketop.com .karmacola.it .klownsasesinos.com .koitattoo.it .kyosho.it .lacarcara.com .lacineteca.it .lagonauta.com .laikanimali.org .lalunadisco.com .lamansardadimiele.org .lanciarally037.com .lapiazzetta.lecce.it .lapoligrafica.it .laservideo.it .lavallata-umbria.it .lazioturismo.it .lbmsport.it .lianna.it .libreriasantagostino.it .liceoclassicotivoli.it .lidodiostia.org .liguriacards.com .listavip.it .locurapoetica.com .lottogenesis.com .lottostatistica.com .lotzweb.com .lovelycuba.it .macerataangels.com .macondocafe.it .magicadoremi.com .makinamakina.com .maloscantores.com .mappa-stradale.com .marabuclub.it .marcellocoiana.it .marcocavallini.it .maremmapromotion.it .mariahmariah.com .marialuisacongiu.it .martatorne.com .masottiamp.it .masseriabandino.it .masterfilm.it .mecanalba.com .meduxa.com .mellowtoy.com .menuchef.it .mest.it .metamorfosi.info .meteore.it .miniaturbulls.com .miodesopsie.it .mla.it .mobilrot.it .modellismoferroviario.it .moduliaggiuntivi.com .monelline.net .moodmagazine.org .moons.it .motelazzurra.it .motherteresacause.info .motodepoca.org .motorimania.net .mrfli.com .musicaroma.com .nettunobaseball.net .nicobastone.com .nnggmadrid.org .noseencuentra.com .obiettivo.info .officinagirardi.it .olstadsound.com .oradonbosco.it .orconero.com .organisti.it .orologico.it .osservatorionomade.net .ottogabos.com .outletitalia.com .palau.sardegna.it .paleontologiaumana.it .pallinedagolfusate.it .panelli.it .pantelleriaphoto.com .paolaharris.it .paradisediscoclub.com .parcorenai.it .partycolare.it .partyrental.it .perledivetro.it .photoceleb.net .photofree.org .photosolero.com .pianetamarevacanze.it .piazzarisorgimento.it .piemonteis.com .pigstyconcerti.com .podereilpoggetto.com .poohcoverband.it .portale-porno.com .portalebirre.com .portaleromanista.com .pozzallo.it .primadonnacollection.com .primaradio.net .priorato.it .procida.cc .prolococesa.it .promobrasil.com .pugliaviaggi.com .punkwave.it .qsinformatica.it .qualcosadirosa.com .quellidellangolo.com .quibert.it .radiocastelluccio.it .radiochioggia.it .ramino.com .rangoli.it .rarinantesbologna.org .rcv.it .redriverfontanar.com .rentalinvenice.it .rentbike.it .residencedelsole.com .residencemediterranee.it .rigiomanga.it .rimmelclub.it .rionecroce.com .ristoranteilcastellaccio.com .rivaroloinforma.it .roberto96.net .roccomanzi.it .roombashop.it .rovigno.it .royalclubprivee.com .saaf.it .saccoeuronics.it .safarimadrid.com .sagreincampania.it .salento.lecce.it .salentoclub.it .salsasocialclub.com .salsassia.it .salussola.net .sanbartolomeo-casaincampagna.it .sanfrancescohotel.com .santeodoro.com .sapri.org .sardiniadomus.it .sat11.it .sauzecultura.it .savellionline.it .scimmie.it .scuderiamodelli.com .segretidicasa.it .sergiovessicchio.com .sex-portal.cc .sex-toy-free.co.uk .siciliacasevacanze.it .siciliantica.it .simprover.com .sirn.net .sit5.com .skontra.net .skydivesardegna.it .solobari.com .sorayahotel.it .sottocosto.biz .soundrise.it .southinvasion.com .spaccioworld.com .specialistica.com .sscalciocastelfiorentino.it .stereoimmagine.it .storiadivenezia.it .stratosmania.com .studiocasaimmobiliare.net .sunhope.it .superraga.it .suresina.it .tamtam-sito.it .tatakaefansub.net/index.php .tattooepiercing.com .tatuaggio.biz .tazreport.it .teatrozircone.com .tecno2.com .tecnoturism.com .termecapasso.it .teseonline.com .thesaraceno.com .ticino-immobili.com .tifosiena.it .tonnodicorsa.it .torreturbolo.com .totaleapatia.it .touringsardinia.com .treskafamily.com .triesteitaliana.it .trteam.it .tulasi.it .turismoa2ruote.com .tuttociclismo.org .twirlinglombardia.it .udacesicilia.it .uilscuolaenna.it .umor.it .unitaestate.com .unoarredi.com .valextra.it .valtidone-competitions.com .veteracar.it .viaggiareliberi.it .viajes4puntos.com .vikinginter.com .villa-stella.com .villadeglidei.com .villaersilia.it .villaggiosentinella.it .villaggiostelladelsud.it .villaicaro.com .villapiras.it .villasarah.it .vittoria.com .volta.ts.it .vomerochallenger.it .weareultras.com .webpolicial.net .wewillrockyou.it .wincreative.com .zerofavola.info .zeromagazine.it
View Giovanni Francesco Solone's profile
September 10th, 2007 at 5:55 pm
Ci sono stati altri sporadici casi di negligenza di Aruba (a dire di parecchi miei conoscenti) ma non entro troppo in merito al discorso non avendo avuto esperienze dirette. Sfortunatamente bisogna affidarsi solo ed unicamente a quello che dice il loro reparto assistenza e sperare che non accada realmente qualcosa di male alle proprie realizzazioni…
September 10th, 2007 at 5:36 pm
Ciao gioxx,
Ti ringrazio per la veloce risposta, sono felice che la cosa si sia risolta nel migliore dei modi anche se poco tempo fa in un sito che ho fatto a mia cognata che vive in germania e successo che sono sparite pagine intere e dalla prima pagina di google e arrivata alla quinta quando ce ne siamo accorti ho rimesso il sito da capo e ho contattato Aruba che hanno fatto finta di nulla dicendomi solo di cambiare la password e fare un upload del sito.
September 10th, 2007 at 5:28 pm
Ciao Antonio, la blacklist è stata ormai dismessa e non ci dovrebbero essere ulteriori problemi. Il “danno” è rientrato e Aruba ha chiuso il bug. Non preoccuparti ulteriormente
September 10th, 2007 at 5:24 pm
Ciao, purtroppo il mio sito e nella vostra lista ometto di scrivere il nome completo per non approfittare della della vostra pagina inserendo il link alla mia pagina. si tratta di perledivetro.it, datosi che io non sono un webmaster esperto e purtroppo il mio sito e abbastanza visionato, vorrei avere ulteriori chiarimenti per poter capire cosa fare per uscire da questa lista nera. Premetto che essendo pensionato avevo optato per aruba proprio per il motivo costo/servizi, il sito non è a scopo di lucro e per me soltanto una spesa, nonostante ciò ho lavorato duro per farlo arrivare a quello che è oggi. Molti hanno intrapreso questo lavoro proprio prendendo spunto dal mio sito e mi hanno contattattato per ulteriori spiegazioni sulla lavorazione al lume, le e-mail vengono da quasi tutte le nazioni nonostante il sito sia scritto solo in Italiano. Sono altrettanto dispiaciuto se con il mio sito ho procurato disguidi ad utenti ignari trasportando in esso qualcosa di malsano e di questo vi prego di scusarmi, aiutatemi a capire cosa devo fare per ovviare a questa incresciosa situazione. Peccato che ho letto solo oggi nel vostro blog ma menomale che il caso a voluto che lo trovassi. Un caro saluto a tutti Antonio
June 25th, 2007 at 6:40 am
Hosting su Wordpress.com, dominio acquistato con il loro Automator che si preoccupa anche di impostare i vari redirect dns
June 25th, 2007 at 3:12 am
Ciao Gioxx io sto su Aruba e non mi trovo malaccio, in questi ultimi anni è migliorato parecchio e poi da quando uso WordPress (server Linux da sempre) va bene, posso dire che rilevo un down al mese di notte dopo le 2. Forse fanno dei lavori ma si risolve tutto in pochi minuti.
L’ultima volta mentre stavo testando un’applicazione che inviava mail il sistema è impazzito mandando oltre 1500 mail tutte al mio indirizzo il server ha retto ma è crashato dopo quando con ThunderBird sono andato a scaricare la posta (comunque queste cose le faccio solo di notte).
Il 20 di questo mese sul blog (per via delle tracce d’esame) c’è stato un boom di visite il contatore è schizzato a 14mila visitatori e quasi 32mila pagine viste in un solo giorno (per me numeri impressionanti avendo la media dei 5-600) e Aruba ha retto una meraviglia ci sono stati molti picchi con utenti collegati superiori a 100 nello stesso tempo e il record è stato di 186 (che puoi verificare su “stats/admin.php” del mio blog).
Per 30 euro all’anno non mi lamento, l’assistenza fa pena ma fortunatamente non ho avuto bisogno se non per qualche occasione particolare di natura commerciale.
Scusami per la lunghezza del commento(roba da farci un post su!) ma volevo chiederti se tu sei su wordpress.com o su un tuo server? Non l’ho capita molto bene questa storia visto che mi vedo collegato
June 24th, 2007 at 8:34 am
Salvo anche questa volta, prossimo anno si cambia
June 24th, 2007 at 1:04 am
[...] Aruba bucata: la storia si ripete [...]
June 23rd, 2007 at 12:11 pm
Evidentemente ci siamo capiti male e questo mi dispiace
Meglio così per tutti quei clienti che erano su altri server e che non hanno avuto il problema del mass deface. Grazie!