Rilevato ogetto http dannoso

[zeromila]

Dopo un annetto di vita di un mio sito, oggi mi è stato segnalato che quando lo si andava ad aprire veniva rielvato un trojan-downloader.JS.agent.fhc, deduco che atraverso qualche simpatico bug qualcuno abbia potuto modificare tutti i file index.html, tutti i file .js e i file index.css aggiugnendo alla loro conclusione questo script:

Codice: [Seleziona]

"<script>var Eu=new Array();.... etc. etc. etc.
le domande sono due:
- c'è un modo semplice per rimuovere il tutto senza dover modificare tutti i file uno ad uno?
- c'è un modo x capire che fa questo benedetto script e magari risalire al simpatico amicone che ha fatto lo scherzetto?

grazie a tutti per la disponibilità dimenticavo, il sito in questione è http://www.antenna2.it/rad  (ci sono tr diverse isntallazioni di joomla in /web in /rad e in /tv, l'unica intaccata è quella /rad)

[56francesco]

per cortesia, se è un malware evita di postarlo tutto e usare le tag code..

sposto nella sezione sicurezza

[vamba]

le domande sono due:

- c'è un modo semplice per rimuovere il tutto senza dover modificare tutti i file uno ad uno?

No, o meglio dire non ne conosco

- c'è un modo x capire che fa questo benedetto script e magari risalire al simpatico amicone che ha fatto lo scherzetto?

Quello che fa lo dice già il nome evidenziato dal rilevatore ovvero un "trojan-downloader" (una delle tante varianti dei cavalli di troia)... riuscire a capire chi lo ha inserito e come cercare di capire se è nato prima l'uovo o la gallina.

P.S.
Ho rimosso il codice che hai inserito per motivi di sicurezza. 

[zeromila]

ehm e per evitare che la cosa si ripeta che posso fare, dato che ormai ho quasi finito di sistemare tutti i file infetti...

[mmleoni]

ciao,
 leggi questo:
http://www.mmleoni.net/ripristinare-joomla-dopo-un-attacco

è un po' la sintesi di tutte le risposte date.

ciao,
marco