SPAM e hosting condiviso: alcune considerazioni

Questa mattina un mio partner mi ha contattato segnalandomi un problema. In pratica, un suo cliente stava riscontrando l’impossibilità di inviare una newsletter con MailUp, poiché il servizio segnalava che alcuni dei link contenuti nella mail facevano riferimento ad un server segnalato nel database di Spamhaus come fonte di spam. Il sito del cliente in questione, fatto dal mio partner, non ha nessun tipo di problema, quindi la causa va cercata altrove. Vediamo di capire i passaggi.

Come prima cosa inserisco nel sito www.mxtoolbox.com, nello strumento di controllo blacklist, il dominio del cliente che lamenta il problema.

Dopo aver eseguito il check, in qualche secondo ottengo dei risultati. Posso vedere che l’IP a cui fa riferimento il dominio è listato in alcune blacklist.

A questo punto mi sposto sul sito http://www.spamhaus.org/lookup/ per capire qualcosa in più. Inserisco l’IP segnalato da mxtoolbox nel motore di ricerca e attendo il risultato.

Viene indicata una segnalazione all’interno di una blacklist.

Clicco sul link per approfondire.

Ed ecco svelato l’arcano. Il problema è causato da un altro sito web ospitato sullo stesso server dove risiede quello del cliente del mio partner. Il sito è infetto con un trojan che invia spam in modo continuativo, quindi i sistemi di sicurezza hanno bloccato tutto il traffico proveniente da quel server, incluso il sito del cliente del mio partner, ignaro di tutto.

Il sistema avvisa anche che nessuno può risolvere il problema se non:

1. il proprietario del sito infetto che dovrà intervenire per ripulirlo;
2. l’amministratore del server che ospita i siti (quindi qualcuno lato provider, in questo caso Register.it) che dovrà risolvere il problema sul sito “bucato” oppure metterlo offline.

Come si può vedere dall’ultimo screen che ho allegato, l’infezione sul sito  è presente da almeno 4 giorni, poiché proprio 4 giorni fa qualcuno aveva effettuato una richiesta per rimuovere l’IP dalla blacklist. Il guaio è che richiedere la rimozione senza prima risolvere il problema implica, per forza di cose, venire listati di nuovo nel giro di poco tempo (a volte poche ore) e inibire la possibilità di richiedere la cancellazione se non dopo un periodo più lungo.

I consigli che posso offrire quando si parla di hosting condiviso sono quindi:

1. effettuare una manutenzione costante del proprio sito web, con l’installazione delle patch relative alla piattaforma CMS (Joomla, WordPress, ecc.) e ai relativi plugin. Nel caso specifico il problema è generato da un sito basato su Joomla;
2. appoggiarsi ad un provider che sia reattivo e, in un caso come questo, provveda tempestivamente a mettere il sito infetto offline così da poter richiedere altrettanto tempestivamente la rimozione dalla blacklist dell’IP, essendo in comune con altri clienti che altrimenti subiranno dei disagi senza poter fare nulla.
3. assicurarsi che il provider che fornirà il servizio non appoggi allo stesso indirizzo IP un numero esorbitante di siti web. Nel caso analizzato oggi Register.it ha appoggiato quasi 26.000 domini sullo stesso indirizzo.

Tanto per rendere l’idea, oggi ho chiamato io il titolare del sito web infetto e mi hanno detto di non sapere nulla in merito e di non aver ricevuto altre segnalazioni. Grazie alla mia chiamata si sono quindi messi in contatto con chi ha realizzato il sito per provare a porre rimedio al problema, nonostante sia in corso da 4 o 5 giorni.
Personalmente non vorrei trovarmi nei panni degli altri clienti del provider, con il sito appoggiato sullo stesso IP e, magari, problematiche che si trascinano da giorni senza capire a cosa siano dovute.