salve, in un mio dominio, il sito su root e altro sito su sottodominio risultano infetti, con tanto di notifica via email di google.
Il consiglio dell'hosting di reinstallare il cms da 0 per ora è impraticabile, sarebbe un lavoro immane, c'è modo di individuare il malware?

dettagli della videnda:
- una decina di giorni fa mi trovo del codice malevolo sulla pagina index.php del template di joomla, lo individuo (grazie ad un warning di chrome) e lo elimino. Cambio la password di joomla.
- il codice si ripresenta e lo ritolgo: si va avanti così per diversi giorni.
- oggi il problema si ripresenta e me ne accorgo sempre grazie al warning di chrome, solo che ora il messaggio non dice più "richiesta dati sospetta da xxxx.ru" ma "il sito contiene un malware.." infatti anche togliendo il codice malevolo da index.php (e facendo una scansione per verificare se fosse presente in altre pagine) l'avviso malware rimane.
- mi arriva la notifica di google del malware

controlla tutti i file .htaccess e i file php sicuramente gli unici incriminati sono quelli con data molto recente, una volta individuati li scarichi in locale e li apri con notepad++ o notetab light o vim e così potrai rimuovere il codice estraneo.
poi li ri uppi

il problema comunque è stato causato da joomla o un componente non aggiornato quindi devi pensare a fare anche l'aggiornamento altrimenti poi ti ritocca rifare il lavoro

controlla tutti i file .htaccess e i file php sicuramente gli unici incriminati sono quelli con data molto recente, una volta individuati li scarichi in locale e li apri con notepad++ o notetab light o vim e così potrai rimuovere il codice estraneo.
poi li ri uppi

il problema comunque è stato causato da joomla o un componente non aggiornato quindi devi pensare a fare anche l'aggiornamento altrimenti poi ti ritocca rifare il lavoro

il problema come ho detto si ripresentava in maniera ciclica, cambiando la password dell'admin di joomla non ho risolto, ma cambiando la password dell'ftp è ormai qualche giorno che sto tranquillo.
spero tu possa dirmi se la mia ipotesi è giusta:
in effetti il problema è cominciato qualche settimana fa che avevo ancora joomla 1.7:fagiano: aggiornando a 2.5.4 ha continuato a ripresentarsi, suppongo che il buco ormai fosse fatto.
Pensando però a come ho risolto il problema (cambiare password ftp) mi sorge un dubbio: possibile che bucando joomla siano risaliti addirittura alla password dell'ftp? (non dovrebbe essere memorizzata da nessuna parte nel cms, o ricordo male?)

chrome ti segnala(va) il malware perché il sito era stato messo in blacklist da google, adesso però è pulito

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=nabbaitalia.it

L'ultima visita di Google a questo sito è stata effettuata in data 2012-04-25 e contenuto sospetto è stato rilevato l'ultima volta in data 2012-04-23.

chrome ti segnala(va) il malware perché il sito era stato messo in blacklist da google, adesso però è pulito

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=nabbaitalia.it

si lo so, come ho detto ora ho risolto, ma spero cmq con questo thread di togliermi il dubbio che ho posto il post precedente.

secondo me il "problema" si è risolto quando hai aggiornato joomla (se non l'hai già fatto dovresti aggiornare anche le estensioni ed i temi che utilizzi), solo che chrome ti segnalava il sito infetto a causa della blacklist (che come ti ho fatto notare ci mette alcuni giorni a correggersi)

la password ftp non c'entra

secondo me il "problema" si è risolto quando hai aggiornato joomla (se non l'hai già fatto dovresti aggiornare anche le estensioni ed i temi che utilizzi), solo che chrome ti segnalava il sito infetto a causa della blacklist (che come ti ho fatto notare ci mette alcuni giorni a correggersi)

la password ftp non c'entra

no, il codice malevolo si è presentato anche con tutti i componenti e joomla aggiornati.
il sito è stato blacklistato quando già avevo risolto in pratica.

comunque mi sembra ci sia ancora qualcosa che non va... su questo sottodominio mi indica ancora joomla obsoleto:
http://sitecheck.sucuri.net/results/http://qualityclub.nabbaitalia.it

comunque mi sembra ci sia ancora qualcosa che non va... su questo sottodominio mi indica ancora joomla obsoleto:
http://sitecheck.sucuri.net/results/http://qualityclub.nabbaitalia.it

boh è tutto aggiornato, c'era un componente che non uso che non lo era, ma ora pure quello ho aggiornato