Win32.Sinowal.br e gli Hosting su Aruba.it

Notavo dei problemi con l’antivirus su alcuni blog che visitavo, scoprendo poi che la maggior parte erano ospitati su Aruba.it. Il mio dubbio è divenuto certezza quando oggi ho letto il post di Napolux il quale si è trovato anche lui faccia a faccia con MBR rootkit/trojan sinowal su un blog in wordpress. Il problema, a quanto pare, risulta diffuso sui blog e siti ospitati su Aruba.it come segnalato da Maverick.

Purtroppo ho scoperto che anche un sito che cogestisco era stato infettato da questa backdoor, cosa abbastanza preoccupante perché questo sito non è basato su Wordpress e con Daniele abbiamo escluso che il file infettato sia arrivato per SQL injection quindi supponiamo che sia un problema diffuso dell’Hosting.

MBR rootkit risulta ospitato nei seguenti domini eaoafir.com, hnoafir.com, ces2vif.com, fhv5vif.com quindi fate un pò di attenzione quando caricate un sito se visualizzate un collegamento a questi indirizzi. Troverete un How-To interessante in merito al MBR rootkit sul forum Hardware Upgrade.

Il problema che mi crea ancora qualche perplessità non è come sia stato possibile infettare così tanti domini all’interno di Aruba e non mi faccio tanti problemi sulla sicurezza perché un server sicuro al 100% non esiste. Ho dubbi e perplessità nel fatto che chi gestisce la farm di Aruba non si sia accorto di questa epidemia e non si sia attivato in una bonifica, tralasciando completamente l’aspetto di comunicazione e trasparenza nei confronti dei propri clienti. Un motivo in più per emigrare totalmente su DreamHost.

Mi sembra ancora più ridicolo che l’assistenza clienti sempre di Aruba punti il dito esclusivamente sul cliente accusandolo di non aggiornare il proprio wordpress o di avere un cms bucato, basta fare una piccola ricerca su google e si scopre che il problema è diffuso su più domini e rappresenta una vera e propria epidemia.