Aruba bucata: la storia si ripete

19/06/2007 alle ore 13.48 in Eventi,Informatica,Italia,Links,Sicurezza with 39 Comments

ATTENZIONE: Questo post e' stato scritto piu' di 3 mesi fa. Potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a scrivere un commento per chiedere delucidazioni! :)

Ultima modifica: 16/01/2012 ore 22.28

Correva l’anno 2004 d.C. Quel pomeriggio la rete era in fermento ed il sesto senso aveva quella percezione di qualcosa “di sbagliato” nell’aria. Non è la trama di un film horror… è solo la soddisfazione di un povero pirla pseudo-tecnico/sistemista che durante tutto questo tempo ha sempre ripetuto che di Aruba non c’è da fidarsi assolutamente. Frotte di conoscenti, amici, blogger e chi più ne ha più ne metta, continuava a ripetere di trovarsi particolarmente bene con l’azienda aretina leader del settore italiano.

“Poveri stolti. E’ solo questione di tempo“. Una frase che ho ripetuto più di una volta. Aruba è ufficialmente entrata nelle blacklist del sottoscritto da quando subì quel mass-deface nel 2004. Migliaia di siti devastati da un solo script lanciato dopo aver ottenuto i diritti di root su una macchina (e da quella alle altre nello stesso identico modo). Non pensavo potesse succedere ancora o almeno non subito. Ultime parole famose.

Stamattina in azienda abbiamo ricevuto la lista completa dei siti bucati. Stavolta niente deface. Solo un simpaticissimo iframe con codice di installazione automatica del trojan di turno. Una sana coltivazione di PC zombie da sfruttare per futuri attacchi.

Il codice dell’iFrame è particolarmente semplice e preciso (come da immagine), i codici maligni inseriti sono i seguenti:

Clicca per ingrandire

HTML_IFRAME.CU (info)
JS_DLOADER.NTJ (info)
TROJ_SMALL.HCK (info)
TROJ_AGENT.UHL (info)

Per difendere i vari clienti dai potenziali problemi che tali siti possono ancora arrecare, parecchie aziende hanno deciso di inserire l’intera lista nei filtri di Squid e dei proxy server in generale. Dal canto mio ho già provveduto ad inserire le 464 vittime negli “squid filters” di 3 clienti. So che i webmaster non c’entrano nulla e che la colpa è come al solito di Aruba, ma non ci si può permettere la minima distrazione, altrimenti si rischia di dover rimettere a posto decine di client.

Dell’evento ne parla anche Symantec che riporta il tutto con un apposito documento:

symantec.com/…/2007/06/italy_under_attack_mpack_gang.html

La lista completa dei domini è disponibile leggendo tutto il post (così da evitare di farvi arrivare la pagina alle stelle) ! ;)

Che dire se non “Ve lo avevo detto“? :P

Se trovate il vostro dominio tra questi, cominciate a preoccuparvi :P (c’è anche il Cinema City di Ravenna :lol: )

.lnx.roombashop.it/catalog
.24-italia.it
.PETIT.IT
.abbicci.info/blank.htm
.absentialunae.com
.accademiadistresa.com
.accessoripista.com
.adeclan.com/Forum
.adriahotel.it
.afroaid.net
.agenziaabita.it
.agrikarma.it
.aibs.it
.akita.it
.alarmbandjes.com
.albatros-hotel.it
.albergodellalunetta.it
.alessandromario.com
.alessandrosiani.it
.alexbaldi.it
.algiardinodeilimoni.it
.alkonetara.org
.allevamento-bulldog.com
.allevamentobrunner.it
.allstarteam.it
.almogavares.org
.altopianodipine.com
.altracitta.org
.altrarte.info
.analistgroup.it
.anarda.net
.andresantamarta.com
.angelibuoni.it
.angeluccicicli.it
.angolostefania.it
.animalsplanet.net
.annuncidellest.com
.arcipelagoegadi.it
.arquiteca.com
.arrampicata.net
.arrivanodalmare.it
.ascii.it
.associazionelagunari.it
.astroteamrg.net
.astroteamrg.net/AstroteamWeb/index.php
.astroteamrg.net/foro
.autolineemoretti.it
.avellinoclubcambiano.it
.aviopress.com
.babaschess.net
.baiadeglidei.com
.bamboleincantate.com
.barbaratampieri.com
.barbeque.it
.barforzalupi.it
.barrumba.com/biglietteria/index.php?area=1
.basilicatanet.tv
.baslug.org/vega/index.php?p=nvidia
.baslug.org/vega/index.php?p=wifi
.bastinside.com
.bedandbreakfastmarco.com
.belenistasdelaisla.com
.beltane.it
.bersus.info/index.htm
.bertolifansclub.org
.betamontecarlo.it
.biescrew.com
.blackout-zero.com
.blue-angels.it
.blumaremma.it
.bmurdaneta.com
.borgodiceri.it
.boscardin.it
.boxertanza.it
.boys-san.it
.broccias.net
.brokenknuckle.com
.burningblood.it
.caffeilchicco.it
.cailaquila.it
.calamolinella.it
.calciodilettante.org
.caltabellotta.com
.camariaadele.it
.camperhouse.com
.camping-montescudaio.it
.campingleginestre.it
.campogulliver.it
.caprillina.it
.car-tuning.it
.carbike.it
.carloscastaneda.it
.casacelestino.it
.casaporta.com
.casedisicilia.it
.castellotorcrescenza.com
.castromocho.com
.catholicfraternity.net
.catholicpressphoto.com
.cblucentum.net
.cbsab.com
.centrautoportuense.it
.cerchinelgrano.info
.chamallex.com
.chatjennifer.com
.chemi-vit.com
.chiappesode.it
.ciclidiepiranha.net
.ciclimatteoni.com
.cicoandcico.com
.cif.it
.cinearcobaleno.com
.cinemacity.it
.cinziaricci.it
.circuitodipomposa.com
.claudiosantinelli.com
.club206cc.it
.clubdogo.org
.clubmini.it
.comet.it
.comune.bisignano.cs.it
.corsaclub.it
.corveleno.com
.costadelsud.it
.crashauto.it
.crupisgallery.it
.ctbastoni.com
.cubanite.com
.cusinelli-liste.it
.danzaclassica.net
.darklunacy.com
.deandretribute.net
.deltaservizi.net
.dercot.com
.despelotetotal.com
.devilszone.com
.digitaltuning.it
.dilea.it
.dire-straits.it
.discotecalafabbrica.it
.dojinshi.biz
.donnedive.com
.dsquared2.com
.ducatimilano.com
.dueruoterent.com
.easycaritalia.it
.ebansrl.com
.edomestre.com
.elmp3.com
.enduristianonimi.it
.enzofalivene.it
.eolclub.com
.eolienelmondo.it
.esperiaristorazione.it
.essendemme.com
.eukalypto.it
.euromediterraneonews.it
.euromotel.net
.exogini.com
.exporockmusic.com
.extremeworks.it
.fanodisc.com
.farfalleincammino.org
.fazer-hispania.com
.fdl1970.net
.ferodoracing.it
.ferroviadelbernina.it
.fiammamonza.it
.figccarbonia.it
.filipposcozzari.org
.flamarvacanze.com
.floriterapia.com
.foersterhaus.it
.foillia.it
.footvolley.info
.format-group.it
.fuorisacco.it
.fusaromoto.it
.gaproma.it
.gardenrose.it
.garganoresidenceliberato.it
.gernikasaski.com
.gfzshoes.it
.giancarlopagliarini.it
.gioiosa.net
.gioventubiancorossa.it
.girsacrew.it
.giulivo.it
.gloss.it
.golfugolino.it
.grigiorossi.it
.grottagliebynight.com
.hardfighting.com
.harley-davidson-civitanova.it
.hellnation.it
.hl4ever.net/?sub=seccion&sid=om&pid=om-esf
.hobbygrafico.it
.hotelapogeo.it
.hotelbaviera.com
.hotelcapoduomo.com
.hotelcomo.net
.hotelcrocedimalta.net
.hoteldeigiovi.it
.hoteldellestelle.it
.hotelkingmilano.com
.hotellidocattolica.com
.hotelmiralisa.com
.hotelmirella.it
.hotelrosapineta.com
.ibimus.it
.icwwrestling.it
.identitalucana.it
.il91.it
.ilcittadinodimessina.it
.ilpaliodisiena.com
.ilportalesardo.it
.ilricettariodibianca.it
.impariamoascrivere.it
.indrema.it
.infojudo.com
.inuyasha1.it
.ipsssmontagna.it
.isoladelgiglio.biz
.isolarossanet.com
.italialavorosicilia.it
.jacklabolina.it
.jacksonland.it/shop
.joebabes.com
.k2r.it
.karaoketop.com
.karmacola.it
.klownsasesinos.com
.koitattoo.it
.kyosho.it
.lacarcara.com
.lacineteca.it
.lagonauta.com
.laikanimali.org
.lalunadisco.com
.lamansardadimiele.org
.lanciarally037.com
.lapiazzetta.lecce.it
.lapoligrafica.it
.laservideo.it
.lavallata-umbria.it
.lazioturismo.it
.lbmsport.it
.lianna.it
.libreriasantagostino.it
.liceoclassicotivoli.it
.lidodiostia.org
.liguriacards.com
.listavip.it
.locurapoetica.com
.lottogenesis.com
.lottostatistica.com
.lotzweb.com
.lovelycuba.it
.macerataangels.com
.macondocafe.it
.magicadoremi.com
.makinamakina.com
.maloscantores.com
.mappa-stradale.com
.marabuclub.it
.marcellocoiana.it
.marcocavallini.it
.maremmapromotion.it
.mariahmariah.com
.marialuisacongiu.it
.martatorne.com
.masottiamp.it
.masseriabandino.it
.masterfilm.it
.mecanalba.com
.meduxa.com
.mellowtoy.com
.menuchef.it
.mest.it
.metamorfosi.info
.meteore.it
.miniaturbulls.com
.miodesopsie.it
.mla.it
.mobilrot.it
.modellismoferroviario.it
.moduliaggiuntivi.com
.monelline.net
.moodmagazine.org
.moons.it
.motelazzurra.it
.motherteresacause.info
.motodepoca.org
.motorimania.net
.mrfli.com
.musicaroma.com
.nettunobaseball.net
.nicobastone.com
.nnggmadrid.org
.noseencuentra.com
.obiettivo.info
.officinagirardi.it
.olstadsound.com
.oradonbosco.it
.orconero.com
.organisti.it
.orologico.it
.osservatorionomade.net
.ottogabos.com
.outletitalia.com
.palau.sardegna.it
.paleontologiaumana.it
.pallinedagolfusate.it
.panelli.it
.pantelleriaphoto.com
.paolaharris.it
.paradisediscoclub.com
.parcorenai.it
.partycolare.it
.partyrental.it
.perledivetro.it
.photoceleb.net
.photofree.org
.photosolero.com
.pianetamarevacanze.it
.piazzarisorgimento.it
.piemonteis.com
.pigstyconcerti.com
.podereilpoggetto.com
.poohcoverband.it
.portale-porno.com
.portalebirre.com
.portaleromanista.com
.pozzallo.it
.primadonnacollection.com
.primaradio.net
.priorato.it
.procida.cc
.prolococesa.it
.promobrasil.com
.pugliaviaggi.com
.punkwave.it
.qsinformatica.it
.qualcosadirosa.com
.quellidellangolo.com
.quibert.it
.radiocastelluccio.it
.radiochioggia.it
.ramino.com
.rangoli.it
.rarinantesbologna.org
.rcv.it
.redriverfontanar.com
.rentalinvenice.it
.rentbike.it
.residencedelsole.com
.residencemediterranee.it
.rigiomanga.it
.rimmelclub.it
.rionecroce.com
.ristoranteilcastellaccio.com
.rivaroloinforma.it
.roberto96.net
.roccomanzi.it
.roombashop.it
.rovigno.it
.royalclubprivee.com
.saaf.it
.saccoeuronics.it
.safarimadrid.com
.sagreincampania.it
.salento.lecce.it
.salentoclub.it
.salsasocialclub.com
.salsassia.it
.salussola.net
.sanbartolomeo-casaincampagna.it
.sanfrancescohotel.com
.santeodoro.com
.sapri.org
.sardiniadomus.it
.sat11.it
.sauzecultura.it
.savellionline.it
.scimmie.it
.scuderiamodelli.com
.segretidicasa.it
.sergiovessicchio.com
.sex-portal.cc
.sex-toy-free.co.uk
.siciliacasevacanze.it
.siciliantica.it
.simprover.com
.sirn.net
.sit5.com
.skontra.net
.skydivesardegna.it
.solobari.com
.sorayahotel.it
.sottocosto.biz
.soundrise.it
.southinvasion.com
.spaccioworld.com
.specialistica.com
.sscalciocastelfiorentino.it
.stereoimmagine.it
.storiadivenezia.it
.stratosmania.com
.studiocasaimmobiliare.net
.sunhope.it
.superraga.it
.suresina.it
.tamtam-sito.it
.tatakaefansub.net/index.php
.tattooepiercing.com
.tatuaggio.biz
.tazreport.it
.teatrozircone.com
.tecno2.com
.tecnoturism.com
.termecapasso.it
.teseonline.com
.thesaraceno.com
.ticino-immobili.com
.tifosiena.it
.tonnodicorsa.it
.torreturbolo.com
.totaleapatia.it
.touringsardinia.com
.treskafamily.com
.triesteitaliana.it
.trteam.it
.tulasi.it
.turismoa2ruote.com
.tuttociclismo.org
.twirlinglombardia.it
.udacesicilia.it
.uilscuolaenna.it
.umor.it
.unitaestate.com
.unoarredi.com
.valextra.it
.valtidone-competitions.com
.veteracar.it
.viaggiareliberi.it
.viajes4puntos.com
.vikinginter.com
.villa-stella.com
.villadeglidei.com
.villaersilia.it
.villaggiosentinella.it
.villaggiostelladelsud.it
.villaicaro.com
.villapiras.it
.villasarah.it
.vittoria.com
.volta.ts.it
.vomerochallenger.it
.weareultras.com
.webpolicial.net
.wewillrockyou.it
.wincreative.com
.zerofavola.info
.zeromagazine.it

I commenti da Facebook

39 Responses to “Aruba bucata: la storia si ripete”

kiro June 19, 2007 at 13:55 #

Fortuna che non ce n’è nessuno dei miei :D

Reply | Quote
ramsesoriginal June 19, 2007 at 14:00 #

ecoo di cosa si tratta.. e io che mi chiedevo di cosa stia parlando la repubblica :
4500 siti turistici bucati
Bhe.. per fortuna non ho mai registrato niente su aruba.. anche per via dell’(ormai vecchia notizia) autistici-inventati. Mah..

Reply | Quote
gioxx June 19, 2007 at 14:05 #

Per stavolta ti è andata bene :P

Reply | Quote
BolsoFed June 19, 2007 at 14:15 #

E usare un font un po’ più grosso per quei domini? :)

Reply | Quote
Saverio June 19, 2007 at 14:22 #

Salvo! ;)

Reply | Quote
gioxx June 19, 2007 at 14:23 #

Fede: è per metterli nel box ordinati, altrimenti venivano fuori delle porcate :P

Saverio: congratulazioni :P

Reply | Quote
Philapple June 19, 2007 at 14:28 #

Sono salvo! FilippoCorti.com non c’è :-P

Reply | Quote
Dario Salvelli June 19, 2007 at 14:45 #

Non ci sono. :)
Ne parla anche ArsTechnica qui.

Reply | Quote
Andrea Opletal June 19, 2007 at 14:46 #

io sono con Aruba e mi fai tremare!!! … ma come posso fare a spostarmi?? avrei bisogno di consulenza da solo ho paura di perdere il mio bel blog …

… che fare quindi! aiutami tu… se puoi… se vuoi !

andri72@gmail.com

Reply | Quote
Tambu June 19, 2007 at 15:01 #

è colpa di Giovy!! lui li difende sempre :D

Reply | Quote
A35G June 19, 2007 at 15:20 #

Salvi i clienti che non vogliono cambiare :D

Reply | Quote
gioxx June 19, 2007 at 15:57 #

Dario: si ho letto! :)

Andrea: non c’è nulla di preoccupante in un trasferimento a patto che da entrambe le parti ci sia un’azienda competente e disponibile. Lo spostamento di piattaforma e DB MySQL lo fai con qualche semplice operazione ampiamente documentata su Google & Co.

Marco: si appunto, ma non c’è solo Giovy a difendere Aruba mortacci suoi! :P

Luis: io non salvo proprio nessuno a meno che questo non voglia essere salvato. I consigli li do, poi non devo costringere nessuno! :)

Reply | Quote
gpessia June 19, 2007 at 17:25 #

stessa storia su seeweb, maledetti :|

Reply | Quote
Barbara June 19, 2007 at 19:44 #

Che culo mi hanno mancato ( il blog è su Aruba) in ogni caso anche io parlavo male di Aruba fino a qualche anno fa ( io c’ero nel 2004 e quella volta uno dei miei siti rimase coinvolto) devo dire che negli ultimi anni è migliorato ci resterò anche dopo sta cosa del resto se in tanti dopo tutto quel che è successo restano e anzi sponsorizzano quella ciofeca di Tophost … siamo tutti un pò incoscienti

Reply | Quote
goFFi June 19, 2007 at 19:45 #

Mitica Aruba asd

Reply | Quote
Teldon June 20, 2007 at 00:08 #

Aruba e’ una specie di “necessita’”… il rapporto costo – prestazioni e’ comunque ottimo soprattutto per le migliaia di siti con poche visite contemporanee.

Inoltre sui sistemi linux i problemi sono abbastanza rari, purtroppo e’ pessima la qualita’ di funzionamento di aruba-hosting-windows, con continue interruzioni (riavvio macchina?) e “service unavailable”.

Prima dei fatti del 2004, gia’ nel 2000 avevo avuto un pessimo “primo contatto” con Aruba, finito con un trasferimento dei siti che gestivo (pochi all’epoca) su 9netweb, peccato che poi le due societa’ si siano fuse (o lo erano sempre state) con conseguente peggioramento dei servizi 9net e (miglioramento?) di aruba: morale nel 2005 ho migrato in massa tutto “indietro”…

Reply | Quote
Teldon June 20, 2007 at 00:10 #

dimenticavo: tutti i miei siti sono stati graziati!

Reply | Quote
lorenzone92 June 20, 2007 at 10:54 #

Mi dispiace per quelli che di Aruba non ne vogliono sapere ma ho deciso di spostarmi lì!
Dopo una tremenda esperienza con websolutions.it (che non auguro a nessuno di fare mai) ho deciso di trasferirmi…
Anche dopo quello che è successo vado su Aruba, me ne hanno parlato bene in molti!

Reply | Quote
A35G June 20, 2007 at 12:06 #

Giò: salvi i miei clienti intendevo :D mancava il miei gh

Reply | Quote
gioxx June 20, 2007 at 14:26 #

Giuseppe: di Seeweb non lo sapevo, mi dispiace per loro (sicuro che non sia TopHost?) :|

Barbara: tanta fortuna :P

Teldon: ricordo anche quel regalo del 2000 (siti di persone che conoscevo bene) ma il boom è stato nel 2004! Resta il fatto che tanti la pensano come te e giustamente si accontentano per pagare poco (e ottenere altrettanto in cambio) :(

lorenzone92: tanta fortuna anche a te :P

Luis: salvateli da solo :P

Reply | Quote
A35G June 20, 2007 at 14:31 #

Oh Giò una vacanza no? salvi nel senso che son stati graziati…oh mamma come stai :D

Reply | Quote
gioxx June 20, 2007 at 16:19 #

Sto male, come vuoi che stia? :P

Reply | Quote
Andrea Opletal June 20, 2007 at 16:45 #

uhm … mi fa un po’ paura!!!
conosci qualcuno che può aiutarmi in rete … e poi che servizio di Hosting usare?

Reply | Quote
Altopiano di Pine.com June 20, 2007 at 20:06 #

Ciao,
ti volevo avvisare che il mio sito è pulito!!! Appena mi sono accorto (circa due ore dopo… putroppo non sono attaccato alla rete 24 ore al giorno ;p ) ho sistemato il problema (bastava togliere la riga di codice in più).
Daltronde solo i siti migliori vengono attaccati ^_^ no? Infatti il mio blog personale nonè stato neppure preso in considerazione…
Ciao da
Andrea

WebMaster di Altopianodipine.com

Reply | Quote
gioxx June 20, 2007 at 23:20 #

Andrea O.: se non sei stato colpito direi che non c’è nessun problema. Resta il fatto che non mi sarei fidati di Aruba a prescindere :P

Andrea: ottimo lavoro :) Neanche il sottoscritto è attaccato alla rete 24 ore su 24, infatti ho scoperto tardi il boom di infiltrazioni in Aruba :) Sfortunatamente però sto tenendo le blacklist attive su server di clienti per “un altro pò di tempo“, questione di sicurezza :P

Reply | Quote
Andrea Opletal June 21, 2007 at 08:20 #

mi sa che per ora me ne sto calmo … magari ci penso al momento del rinnovo!

grazie

Reply | Quote
chiamaroma June 21, 2007 at 14:00 #

pessima esperienza su Aruba in tanti anni con tanti domini e tantissimi problemi, costretta a perdere tempo con l’assistenza tecnica che lascia a desiderare… e non è vero che è il migliore in rapporto al prezzo… cercate bene, ce ne sono altri. dsnhosting per esempio.

Reply | Quote
Davide June 22, 2007 at 17:15 #

—-
Migliaia di siti devastati da un solo script lanciato dopo aver ottenuto i diritti di root su una macchina (e da quella alle altre nello stesso identico modo)
—-

Falso, furono bucati i circa 2500 siti presenti in una macchina, non passarono in altre macchine in alcun modo, di questo ne sono assolutamente sicuro.
Fai del FUD?

Reply | Quote
gioxx June 23, 2007 at 04:39 #

Davide: le macchine bucate furono due di cui la seconda fece uno scalpore tendente allo zero a causa dei pochissimi siti ospitati (quella dei 2500 siti circa era webx6.aruba.it, lo ricordo bene).

Ho incontrato e parlato con un tecnico di Aruba al WeBBiT del 2004 discutendo proprio dell’argomento e sono riuscito a dare una occhiata ai vari log dell’attacco. Non serve fare del FUD, non devo convincere proprio nessuno (io sto bene sui miei hosting provider).

Reply | Quote
Davide June 23, 2007 at 10:04 #

Quel tecnico con il quale hai parlato sono io. Io la notte mi sono collegato al web server compromesso cercando l’intruso, come aveva fatto ad entrare, riparando la falla e cercando di sistemare il tutto.
Bucarono un (1, uno) server, quello che hai indicato, contenente quei circa 2500 siti, nessun secondo server. Non so come tu abbia capito che c’è stato un secondo server, ma questo è sicuramente falso.

Reply | Quote