Magari vi ricordate: un mesetto fa questo sito è stato compromesso e per qualche ora è finito nella lista nera di Google perché spacciava caramelle col virus ai bambini ignari. Manco a dirlo, il problema si è risolto in fretta, e nelle ricerche fatte immediatamente dopo è saltato fuori che il non ero il solo sito ospitato su Aruba ad aver subito questa sorte meschina.
Il retroscena fastidioso della vicenda è che da allora ho tentato di capire con Aruba che cosa potesse essere successo, e vi assicuro che l'esperienza è stata desolante. A parte i tempi biblici per rispondere ai ticket di assistenza, la loro competenza in materia si è dimostrata pari a quella di un facocero addormentato (mentre la loro gentilezza a quella di un facocero sveglio, ma sorvoliamo). Se vi interessano i dettagli, ho salvato il testo dei nostri scambi, ce n'è da imparare (in sostanza: "il problema non può essere nostro, noi non abbiamo mai problemi, dunque il problema è certamente suo. Le hanno rubato le credenziali FTP, è l'unica risposta possibile, passi un antivirus. Si, lo faccia anche sulle sue macchine Mac o Linux, visto che insiste a dire che non usa Windows, cosa che non riusciamo a concepire perché non conosciamo altro che Windows, e dunque le proponiamo sempre ed ancora questo programma per Windows da installare sulle sue macchine... com'è che ha detto che si chiamano i sistemi operativi che usa?").
Tutta questa manfrina per dirvi che mi sono stufato, e ieri ho deciso di mollare Aruba il più in fretta possibile. Questo blog si trasferisce nei prossimi giorni su un altro hosting (ehi! Non ci crederete: ci sono provider che rispondono ai ticket immediatamente, e sono pure gentili. Incredibile), ragione per la quale i commenti saranno chiusi per un po' (devo salvare e trasferire il database, e non voglio perdere nemmeno uno dei vostri contributi), e il sito potrebbe essere giù per brevi momenti nei prossimi mentre convinco Aruba a mollare il dominio al mio nuovo ospite.
Se proprio non resistete e dovete dirmi comunque qualcosa, la maschera di contatto resta attiva. A presto, sempre qui ma non più qui 🙂
Aggiornamento [7/5/2010, ore 14:30]: il blog è vivo e vegeto sul nuovo hosting, la procedura di trasferimento del dominio è stata ordinata e attivata: adesso vediamo quanto ci mettono. Se siete arrivati da queste parti, è perché non avete resistito al desiderio di commentare e siete saltati sull'URL bruttino del nuovo sito, che attende che cose tornino normali e di avere il nome che gli spetta. Benvenuti. Occhio, da queste parti i link puntano ancora al dominio assoluto, dunque fino a che il trasferimento non sarà completato potreste trovarvi a saltare da un sito all’altro. Pazientate.
Aggiornameno [8/5/2010]: l'ora X è mercoledì alle 10 e 14.
Tucows received notification on Fri May 7 10:14:38 2010 that you have requested a transfer to another domain name registrar.
If you want to proceed with this transfer, you do not need to respond to this message.
If you wish to cancel the transfer, please contact us before Wed May 12 10:14:38 2010 by going to our website [...]
If we do not hear from you by Wed May 12 10:14:38 2010, the transfer will proceed.
Aggiornamento [13/05/2010 05:58]: migrazione completata, nemmeno il dominio è più sotto le grinfie di Aruba. Il mio nuovo ospite è così efficiente che alle 5:58 del mattino (!) ha aggiornato di sua iniziativa i miei DNS. Probabilmente è solo un normale servizio di assistenza, ma visto da dove vengo, a me sembra un trattamento con i fiocchi. Speriamo continui così.
Dall'Italia sei saltato in Inghilterra 😀
Almeno mi capiscono quando parlo 😛
Hahahaha Hai perfettamente ragione! 😀
ho letto tutta la "conversazione", non gliele mandi certo a dire, a quelli di Aruba.
come in ogni contesto, piu si è informati e piu è difficile farsi fregare.
Saluti
Ste
Beh, in generale non sono tipo da "mandarle a dire" a nessuno 🙂
In più, se c'è una coda che mi fa girare i marroni è quando mi prendono in giro sperando che ci caschi per ignoranza. Mi imbestialisco perché penso a tutti quelli che non hanno le stesse competenze (e che per certi versi non sono tenuti ad averle: l'help desk dovrebbe essere pagato per averle al posto loro) e vengono menati a destra a manca come sei cagnolini scemi. Ma poi, li hai visti i tempi di risposta? È passato più di un mese! E pensi che mi abbiano detto qualcosa sugli IP di accesso, che pure hanno richiesto pure loro (sebbene imboccati)? Chiaro che poi mi infurio (e scappo).
Infatti, sono stati rinominati in: HELL DESK!
Ciao, hai intenzione di fare un post sulle motivazioni che ti hanno spinto a scegliere no-wires.net?
Eh eh eh, qui tutti che fanno le pulci al mio IP solo perché ho deciso di metterlo in chiaro. In ogni caso, per la tua curiosità, ho comprato il nuovo hosting da RelicHost, che è una costola di NoWires. Quanto alla domanda specifica, no, non credo farò un post dedicato all'argomento, perlomeno non prima di aver avuto qualche mese di esperienza con loro.
Posso però dirti un paio di ragioni al volo: cercavo un hosting in linea di principio non-italiano, non eccessivamente costoso ma nemmeno regalato (nessuno ti regala nulla, e se sostiene di farlo come Aruba, c'è l'inghippo), possibilmente solo linux-based, che includesse database mySQL illimitati possibilmente sulla stessa macchina, magari cpanel, e soprattutto spazio e banda dichiarati ("illimitato" è una truffa). Come spesso in queste cose, a RelicHost sono arrivato tramite un amico che ha svariati siti su provider diversi e si era trovato bene (dopo essere fuggito anche lui da Aruba). Ovviamente non era l'unica soluzione possibile, ma molte di quelle che avevo selezionato si equivalevano, e alla fine si sceglie spesso per consiglio personale.
Ho avuto tempo fa un' esperienza tragica con un provider Internet, pure abbastanza famoso tra i gamers in Italia.... ovviamente un reseller Telecom. Nulla a che vedere con l' hosting (oddio, sembra che abbiano provato a fare pure quello con risultati totalmente disastrosi....) ma come "semplice" provider Internet.
Un Help Desk indisponente e fazioso come quello non l'ho mai trovato in vita mia. Tra un "E' colpa di Telecom" e l' altro (ma io pagavo loro, non Telecom....) han cercato di dare la colpa al mio router, al mio PC, ai cavi telefonici del mio appartamento, a improbabili "sabotaggi" di tecnici telecom e via discorrendo. Ci ho messo quasi 6 mesi per togliermeli dai maroni, e un mese di linea telefonica occupata da loro prima di riuscire a passare ad Alice che, manco a dirlo, funziona da Dio, nonostante il mio router, i miei cavi, il mio PC e annessi e connessi. Tra parentesi il loro forum in quel periodo era un macello di proteste, e le risposte dell' assistenza erano diventate automatiche, nel senso che avevan messo un robot a rispondere.....
Max
La mia soddisfazione più grande con Telecom è stata quando, a causa di un fulmine rientrato dalla linea telefonica il modem ha fatto: PUFF!!! quindi ho chiamato per la sostituzione (era ed è ancora in comodato). Immaginate di passare un ora al telefono per far capire al tipo dietro la cornetta che il mio computer non ha OS M$ e quindi Start->Impostazioni->Pannello di controllo e tutte le varie altre procedure erano arabo sulla mia slakky (che dovendo fare solo da router/firewall non aveva nemmeno un desktop)
Dopo un'ora il tipo (finalmente) capisce che si deve fidare di me e mandare un tecnico a sostituire il modem.
Una settimana dopo arriva il tipo, mi si mette a spiegare la rava e la fava delle linee telecom, che lui installa le hdsl, che i router cisco sono il suo pane quotidiano mentre sostituisce il mio modem, cambia il filtro, smonta la presa (non so perchè... mah!) poi si gira verso di me e fa: ok devo controllare se funziona mi fai usare il computer?
Ed io: certamente! Accendo il monitor, metto user e pass e dopo aver girato tastiera e monitor verso il tipo gli dico: Prego!
Il tipo rimane un po di stucco quando sul monitor al posto delle iconcine trova una bella scritta tipo: root@robotec [/root]$
Dopo aver fissato il monitor per un minuto e diventando rosso paunazzo, prima cerca di digitare exit pensado al prompt di win, poi capenso che c'era qualccosa di strano si gira e mi fa: scusa, ma non è OS M$, ed io: no, è linux 😀 (si... sono cattivo!!!)
Lo lascio boccheggiare un po, dopo di che vedendo il suo imbarazzo mi riprendo la tastiera ed dopo un: pppoe start ed un ifconfig ppp0 gli dico: si, ora è tutto ok. 😀
Piccole soddisfazioni!!!
P.S: Attualmente ho ancora quello stesso modem (Alcatel), mi stanno stressando che vogliono darmi il super, mega, fantastico router, voip, 20mega... (a chiacchiere 20 mega).
Purtroppo non potendoci smanettare dentro come voglio io (si, si può "lo stesso", ma io preferisco così) per cui, si tengono quella chiavica di router ed io mi tengo il mio vetusto modem e la mia fida slakky 😀
ehehehe... ma suvvia, non essere cattivo, povero tecnico....
Almeno quello s'e' dato da fare nel suo piccolo.
Di Telecom si puo' dire peste e corna, ma non che non siano abbastanza celeri con gli interventi.... da quando ho alice il massimo stop che ho avuto e' stato di 3-4 ore, e un totale di 2 stop in 5 anni.... direi un buon risultato. Con il provider precedente (che a parole garantiva tutto, in pratica si garantiva solo i pagamenti...) m'e' capitato di star fermo 4 giorni e la linea spesso viaggiava peggio di un router da 14 k....
Tornando ad Aruba, io ho un server virtuale da loro.... e devo dire che male non mi trovo. E' vero che ho poca roba sopra, principalmente i siti della mia ditta (qualche php e js che ci gira sotto) e nulla piu'. Fin'ora m'e' andata bene, anche se dai logs del server i tentativi di intrusione si sprecano.
Puo' anche darsi che a Marco sia capitata una qualche vulnerabilita' dei software installati, certo senza logs e' dura dirlo.
Max
Max, non ti mettere anche tu altrimenti mordo! 🙂 Vulnerabilità dei software installati? O i cattivi avevano un exploit 0-day di cui ancora nessuno conosce l'esistenza, oppure mi sembra veramente improbabile: aggiorno sempre tutto immediatamente, quasi quasi giro una beta piuttosto che stare indietro. Piuttosto potremmo discutere della policy delirante dei permessi sull'hosting Linux di Aruba. Ma obiettivamente non ne ho mica tanta voglia.
Marco, non mordere ! E' chiaro che da qualche parte sono entrati, non ho idea da dove.... magari sono entrati anche da me e non ne so nulla.
Tra l' altro non so se tu hai un hosting semplice o un server virtuale... nel secondo caso i permessi te li gestisci tu, quindi c'e' meno pericolo che facciano casino loro 🙂
Fai conto che io sono piuttosto fiducioso dell' immunità di Linux ai virus, non tanto perchè è fatto meglio di winzozz, ma perchè i produttori di virus (che ho il vago sospetto siano moooolto imparentati con i produttori di antivirus) si dedicano prevalentemente a M$. Infatti sui miei pc linux non ho l' ombra di un antivirus, e, anche se il serverino in ufficio e' bersagliato dalla mattina alla sera, fin'ora o non sono entrati o han fatto una passeggiata innocua 🙂
Detto questo, suppongo tu abbia un hosting, il che implica che chiunque riesca a craccare Aruba automaticamente cracca pure te e qualche altro migliaio di utenti.... quindi meglio il serverino virtuale.
Capisco anche l' ostracismo che ti han fatto, ammettere di aver esposto qualche migliaio di utenti non fa bene alla salute dell' Azienda 🙂
Ma toglimi una curiosità.... visto che mi par di capire che sei più bravo di me a smanettare con i pc, come mai ti sei limitato ad un hosting ?
Ciao
Max
Voi però non mettete in conto anche le vulnerabilità che possono esserci in Php, Apache o http://Ftp... non è detto che debba essere per forza wordpress. Se poi come hai detto, non sei stato il primo, mi puzza più di problema di un demone che di wordpress.
Insomma di variabili in questa campo ce ne sono molte e come giustamente detto sopra, senza log è inutile fare supposizioni...
Chiaro, da qualche parte sono entrati. La questione era e rimane: da dove? Perché se è un problema dei CMS che uso, mi piacerebbe saperlo. Se è un problema di come gestisco le mie credenziali d'accesso, pure. Se è un buco sui server che mi ospitano, tanto più. La gentaglia di Aruba non ha fatto nessuno sforzo in nessuna delle tre direzioni, e, oltre ad accampare ipotesi non supportate dai fatti, è stata esplicitamente reticente verso le poche verifiche che avrebbero potuto confermare o smentire le loro ipotesi (ovvero, gli IP degli accessi FTP all mia zona). E quando uno è reticente, solitamente ha qualcosa da nascondere. Che sia ignoranza o malafede, non cambia la sostanza.
Perché non ho un server virtuale? Perché non ho tempo e voglia di gestirlo. Preferisco pagare qualcuno che ci occupi di configurazione e update. E, a margine, non ho nemmeno abbastanza soldi per permettermelo (questo sito è e resta amatoriale, vuoi mica che metta la pubblicità per pagarmi l'hosting, no?).
Beh, il mio costa la bellezza di 10 Euri al mese + IVA, e' la versione base e non e' che sia caro.... molti hostings costano di più.
Il software e' preinstallato e, saltando il pannello di controllo (che aborro...) con yum (e' un centos...) aggiornarlo e' un attimo.
Ovvio che e' come fosse un tuo PC, quindi della sicurezza te ne devi occupare tu.
Detto questo, concordo pienamente su quel che dici di Aruba, si son comportati da pirli, per dirla educatamente. I loro "tecnici" avranno ovviamente avuto la direttiva di negare fino alla morte e così han fatto. Concordo anche che avrebbero fatto molto più bella figura ammettendo la loro "colpa" e spiegando da dove sono entrati.
Tra parentesi, non credo ci sia nessuna legge che imponga loro di non fornirti gli IP di accesso.... se hai un tuo server li vedi automaticamente, quindi e' ovvio che il proprietario del sito deve averne accesso. Altra cosa sarebbe se a chiederli fosse un estraneo.
Avevo un hosting su AZC, tempo fa, e da pannello erano disponibili sia le statistiche che i log di accesso, mi par strano che su Aruba non si possa avere lo stesso.
Cmq, anche un occhiatina alle date di modifica dei files incriminati un qualche indizio te lo potrebbe dare 🙂
Ciao
Max
Capisco le tue argomentazioni, ma veramente non ho tempo né soprattutto voglia di runnare 'yum' anche sulla macchina che ospita questo blog. Ripeto, per lo spazio e la banda che mi serve mi sta bene (e pretendo!) che se occupi qualcun altro.
Sulla reticenza colpevole di Aruba ho già detto abbastanza: le date di modifica? Servirebbero a qualcosa se correlate con l'IP della connessione FTP, che Aruba si rifiuta, a torto o a ragione, di dirmi o anche solo di verificare.
Secondo me hanno "fallato" loro con qualche demone, è la cosa più logica vista la situazione e il loro comportamento (se non hai niente da nascondere non nascondi niente) e certo non faranno mai mea culpa... come tutti del resto.
Io segnalo che mi collegai quel giorno. (OS windows) E mi son ritrovato due rootkit diversi, nel boot sector, nel giro di una settimana. :-)) (un caso??)
Una guerra per disinfestare.
Anche perchè, sul computer, avevo le difese immunitarie per quelle 'bestie' a livello 0... :-))
Questa è la ragione principale per cui mi sono incacchiato come una bestia, per cui ho maltrattato gli incompetenti di Aruba e per cui ho deciso di andarmene altrove: un solo giorno di infezione è sicuramente bastato a creare non pochi problemi a parecchia gente la fuori (con cui mi scuso), e la cosa è molto, molto irritante. Mi dispiace, spero non accadrà più.
Mah.... come diavolo fa uno a prendersi un rootkit visitando un blog ?
Vabbè che explorer è meraviglioso in tal senso, ma mi par davvero strano.
Per cuccarsi un virus e in particolar modo un rootkit, o si esegue un programma o si ha gli activex aperti come il colosseo, di solito.
Max
Ma sbaglio o il passaggio di questa mattina non è avvenuto?
Aruba ha colpito ancora? 🙂
Aruba non c'entra stavolta... e' il gestore del nome dominio che deve spostare i DNS. In questo caso credo sia Tucows.
Non sapevo che fosse anche un registrar 🙂
Max
Apparentemente potrebbe volerci più del previsto:
Portate pazienza. Sto facendo pressioni da entrambe le parti, ma temo siano tempi fisiologici (e non voglio sganciare altri 10 euro a Aruba solo perché mi autorizzino a indirizzare il dominio verso i nuovi DNS in attesa che il trasferimento sia fatto).
I dns devono propagarsi, ovvero, i/il server dns del nuovo hosting deve/devono informare tutti gli altri server dns (questo avviene per via gerarchica)
Ed anche il server del vecchio hosting deve informare tutti gli altri che non detiene più lui il dominio...
Questo aggiornamento non è contemporaneo (tra tutti server dns, o comunque nemmeno tra quelli necessari a noi per risolvere correttamente il dominio) e nemmeno a cadenza standard (ognuno imposta il TTL a piacimento...) per cui ci vuole tempo 😉
Per maggiorni info sull'argomento: http://it.wikipedia.org/wiki/Domain_Name_System
I DNS qui non puntano ancora al nuovo sito... ho dovuto mettere l' IP manualmente in /etc/hosts.
Errore o solo tempi tecnici ?
Max
Se proprio non vuoi aspettare, puoi impostare come DNS (invece che forzarlo nel file hosts) uno di questi:
87.117.201.57
109.109.252.188
195.210.38.10
69.164.211.164
Che sono i server DNS di Relichost... tanto, è indifferente se usi un dns diverso da quello del tuo provider... anzi... 😉
Beh, io ho sul mio router 1 dns di Alice e uno di OpenDNS, visto che quello di Alice ogni tanto fa i capricci... si vede che non si sono ancora sincronizzati, anche se per OpenDNS mi par strano.
Cmq, visto che l' IP di borborigmi e' fisso, lo lascio bel bello nel mio /etc/hosts per un mesetto, così oltre a non sbagliare cim mette 1/10 di secondo in meno a risolverlo 🙂
Max
Beh Ettore certo... ho scritto una stronzata, succede quando si è di fretta e non si accende il cervello. 🙂
Anche a me tempo fa era successo un attacco hakers, ma io ero allora su livespace, ora invece sono passato a wordpress che mi sembra sia molto meglio.
Buon lavoro "collega" fisico!
certo che usare una slackware su un pc in casa è come usare una televisione CRT in bianco e nero sul sedile di una ferrari..
chiunque preferirebbe uscire e andare a piedi piuttosto di vedere quel vecchiume.. 😛
Vi dico la mia, siamo tre soci che hanno terminato un browsergame online, ed hanno affittato un server su aruba con banda passante da 1 GB.
Quel che basta a supportare tanti utenti.
Oltre il danno, la beffa!
Ad un tratto, dopo tre mesi, di colpo, il sito risulta irraggiungibile su qualsiasi protocollo!
Gli chiedo come mai....mi rispondono che devo pagarli per ripristinare il server.
Pago fiottoni di soldi per avere una garanzia 24/24 e mi sento dare queste risposte?
Ora ci ritroviamo tutti i giocatori in..xxati con noi che vorremmo il gioco subito online.
Quindi il sito rimane offline finché non mi abbasso alle minaccie di aruba.
Tutto fa' sospettare che siano stati proprio loro a fare ciò!
Le prove stanno nelle verifiche espletate tramite MVK sul server, e tutti i servizi sono attivi.
Quindi? Quindi hanno solo chiuso la connessione!
Risultato? Non mi piacciono le truffe!
Si cambia webfarm!
Passiamo alla OVH va.....aruba ruba......