[Virus] Javascript malevolo su sito

[DocLuc]

Buongiorno a tutti,
mi rivolgo a voi sperando di riuscire a risolvere un problema di cui ignoravo l'esistenza fino a ieri pomeriggio.

Navigando il sito www.settoreazienda.it con un pc con antivirus Kaspersky il sito da accesso negato, riportando il messaggio che allego (AccessoNegato.jpg).

Apro un caso presso l'helpdesk di aruba fornitore di hosting su cui risiede il sito.
Questo è un sunto delle cose che mi hanno risposto:

in merito alla sua segnalazione abbiamo effettuato le opportune verifiche individuando alcuni file nei quali è stato inserito un Javascript malevolo.

Abbiamo effettuato dei controlli approfonditi presso il Server dove è ospitato il suo sito senza rilevare la presenza di eventuali problemi o accessi non autorizzati e pertanto la invitiamo a verificare di non avere script non aggiornati all'interno del suo dominio assicurandosi di avere sempre installate le ultime versioni degli script usati in modo che terze persone non possano usare eventuali buchi di sicurezza delle applicazioni per accedere al suo spazio web.

Per una sua maggiore sicurezza la invitiamo ad effettuare un cambio della password di gestione inerente la login@aruba.it accedendo presso il nostro sito on line

Le consigliamo caldamente di effettuare un controllo del suo PC per assicurarsi che non vi siano Trojan, Keylogger, Malware i quali, una volta che ha effettuato il cambio della password, possano "rubarle" i dati di gestione del suo dominio ed altri dati sensibili presenti nel suo PC causando spiacevoli situazioni. A tale scopo le consigliamo di utilizzare il software MalwareBytes reperibile in versione Free al seguente link:

http://www.malwarebytes.org/

La invitiamo inoltre ad installare ed eseguire il tool HijackThis e a fornirci il log testuale che viene generato alla sua esecuzione:

http://www.hijackthis.de/downloads/HJTInstall.exe

Una volta effettuate tali operazioni le basterà ripubblicare tutte le pagine web che compongono il suo dominio per ripristinare correttamente la visibilità del suo sito.

Al fine di far rimuovere l'avviso di "Sito potenzialmente pericoloso" da Google è necessario che richieda un nuovo controllo da parte di Google. Per richiedere ciò la invito a consultare il seguente link che indica come eseguire tale richiesta:

http://www.google.com/support/webmasters/bin/answer.py?answer=45432

Ho seguito i loro consigli riguardo il controllo del pc che utilizza la intranet del sito:

Ho scaricato malwarebytes...l'ho installato ed eseguito...mi ha trovato 7 tra malware, trojan.....dopo li ho ripuliti...almeno credo e poi sempre seguendo i vostri consigli ...e cioè di installare il tool di Hijackthis....mi ha creato il log. che ho inviato in allegato. (hijackthis.log)
La cosa che ho notato è che il virus viene rilevato solo da alcuni antivirus:
ad esempio nessuno di questi segnala la presenza di virus:
Scanning site with:   BrowserDefender CLEAN
Scanning site with:   Google Diagnostic CLEAN
Scanning site with:   hpHosts CLEAN
Scanning site with:   Malware Patrol CLEAN
Scanning site with:   MalwareDomainList CLEAN
Scanning site with:   McAfee SiteAdvisor CLEAN
Scanning site with:   MyWOT CLEAN
Scanning site with:   Norton SafeWeb CLEAN
Scanning site with:   ParetoLogic URL Clearing House CLEAN
Scanning site with:   PhishTank CLEAN
Scanning site with:   Project Honey Pot CLEAN
Scanning site with:   SpamCop CLEAN
Scanning site with:   Spamhaus CLEAN
Scanning site with:   SURBL CLEAN
Scanning site with:   Threat Log CLEAN
Scanning site with:   TrendMicro Web Reputation CLEAN
Scanning site with:   URIBL CLEAN
Scanning site with:   Web Security Guard CLEAN
Scanning site with:   ZeuS Tracker CLEAN
In allegato ho postato lo screenshot (scan-settoreazienda.jpg) di un'analisi del sito fatta per mezzo del sito http://scanner.novirusthanks.org dove invece vien fuori che il sito infetto.

Mi date qualche dritta, devo fare qualche operazione specifica sul sito per rimuoverli?
Cosa si rischia per la presenza di questi virus?
Come si fa a prenderli?
Come si fa per evitarli?

Vi sarò tantissssimo grato se riuscite a darmi qualche dritta, al momento brancolo nel buio 

[allegato vecchio più di un anno eliminato automaticamente]

[mau_develop]

c'è scritto anche questo negli altri post.

Devi sovrascrivere tutti i files sul tuo spazio con quelli aggiornati.

Se hai modificato parti del core son complicazioni.
Se hai aggiunto componenti dovrai provvedere separatamente al loro aggiornamento

Se hai materiale sul sito che non appartiene a joomla base, non verrà sovrascritto e dovrai controllarlo manualmente.

per il virus che hai ... nn saprei, per windows men che meno.

Per il problema ho una mia teoria che però devo ancora riuscire a riprodurre, quindi non so se in realtà il problema è quello.
Cmq se si è un problema di furto dell'url che si verifica (va ?) con firefox 3.6

Era o è .. nn l'ho ancora capito, possibile modificare la richiesta sfruttando l'azione "onerror" del dom del browser, da li puoi fare un po' di tutto. credo che l'abbinata con il cms e l'hoster spesso nominato sia solamente dettata dai numeri di presenze.

M.

[DocLuc]

Grazie per gli utili consigli,
ho per il momento ripristinato il sito, ho fatto una scansione con http://scanner.novirusthanks.org
e sembra che non ci siano più parti di codice violate.

Per l'appunto ho sostituito i file index.php e index2.php della radice principale, che in effetti avevano come data di ultima modifica giorno 8 a differenza di tutti gli altri che hanno la data dell'installazione.
Ho anche sostituito le password di accesso di superadmin (cosa che non avevo fatto in precedenza) e le password dell'hosting.

Mi chiedo può bastare solo questo o bisogna fare dell'altro?

[mau_develop]

leggere, basta leggere...altrimenti è inutile che io stia qui a scrivere....

Seconda riga del post precedente

M.