Finalmente sono venuto a capo del problema che ha causato l'inserimento del sito www.rss-world.info nella blacklist di Google e StopBadware, descritto nel mio precedente post RSS World potrebbe arrecare danni al tuo computer.
Per farla breve, una pagina cartella del sito è stata hackerata con l'inserimento di un contenuto considerato da Google come "potenzialmente dannoso".
La scopert è avvenuta grazie ad un recente aggiornamento della dashboard del mio account su Google che mi ha chiaramente segnalato la pagina incriminata.
Confesso che mi stavo muovendo nella stessa direzione poiché è la seconda volta che RSS World subisce un defacemente in quella cartella e l'unica ipotesi, se non ero stato io ad inserire un codice dannoso, era che lo avesse fatto qualcuno a mia insaputa.
Purtroppo non ho tenuto subito in considerazione quest'ipotesi.
E' un vero peccato, dato che il 6 Novembre 2006 girai all'hosting provider di RSS World un'email dal titolo Importante: mass defacement server nella quale riportavo una lista di defacement avvenuti sugli hosting del server sul quale risiede il mio sito... segnalazione che per inciso già feci due giorni prima e per la quale fu adossata la colpa a Movable Type.
All'email non ricevetti risposta e, nuovamente ingenuo, non controllai che furono prese contromisure, preso da impegni lavorativi & CO. Probabilmente quell'email (1) non è stata considerata o (2) non è mai arrivata, sfiga vuole che ci hanno preso gusto.
Il procedimento è sempre lo stesso (segno che non è colpa di Movable Type... o non solo). Upload di un file index.html che, per configurazione di default, ha precedenza su index.php e quindi causa la pagina ad essere mostrata prima di quella impostata. Il contenuto della pagina originale, di norma, non è alterato. Google ha ancora le prove!
Ho inviato una nuova email al provider, sperando che questa volta (1) la ricevano e (2) agiscano. Un numero imprecisato degli utenti finiti nel primo hacking ancora non si è accorto del problema!
Suggerirei di mandare un avviso a questi poveretti.
Aggiornamento tecnico: in seguito ad alcune comunicazioni tecniche e non con il provider, sono emersi diversi dettagli interessanti. Parlando del defacement, uno dei motivi principali (o il motivo principale) che può aver causato il problema è stato un uso dei permessi non propriamente corretti sulle cartelle dello spazio web. Movable Type, sotto questo aspetto, è un tantino esigente così non ho dato troppo peso alle impostazioni di default, senza considerare alcuni aspetti come
- questo è un hosting condiviso
- vulnerabilità di MT non riconosciute/corrette potrebbero causare problemi unitamente ai permessi 777
Mi sono ripromesso di fare qualche test con uso di configurazioni avanzate di Movable Type, per verificare la possibilità di restringere il campo d'azione di eventuali malintenzionati.
Al più presto pubblicherò due righe.
Resta una curiosità... come mai su due attacchi sia stata scelta sempre la stessa cartella, nonostante sullo stesso livello ce ne fossero altrettante 10 appetibili. Questo, per ora, è un mistero.
Aggiornamento: Ringrazio il provider per la pronta risposta e per "aver preso a cuore il problema" con una telefonata in piena domenica. Da oggi parte l'ora X per il conteggio di quanto ci metterà Google a rimuovere il notice.