Grazie Mau
Comunque si, penso che sia un automatismo, ne sono quasi sicuro, per la frequenza con cui ricreava htaccess non dovrebbe essere altrimenti.
Sto monitorando, effettivamente non ho ancora cambiato credenziali ftp e database, anche se è molto piu probabile che il codice acquisisica quelle del database che può prelevare da configuration.php mentre è molto piu' improbabile che acquisisica i dati ftp (ovviamente se non sono stati settati su configuration.php durante l'installazione di joomla o successivamente) cosa che a questo punto sconsiglierei di fare per sicurezza.
C'è la possibilità che possa ancora essere annidato nel database e re infetterà il sito non appena l'articolo che contiene il contenuto malware sarà aperto da qualche utente.
Non voglio additare estensioni, ma sono arrivato alla conclusione che chrono comments sia insicuro, è preferibile utilizzare j comments.
Un altro consiglio che vorrei dare, se non avete particolari necessità, disattivate dalle preferenze lato server motori come pearl e altra roba, mantenete solo apache attivo, in questo modo riducete le probabilità che codici di vario genere vengano messi in funzione, anche se questo particolare malware che credo sia molto diffuso utilizzi esclusivamente php.
Fino ad adesso sta andando tutto bene, il sito è clean da 2 giorni ormai, l'automatismo dovrebbe agire a livello di ore, tranne che abbia intervalli non regolare con pause ogni tanto di piu giorni, cosa molto malefica perchè destabilizza chi pensava di aver risolto.
Non abbassate la guardia, l'ultima tappa di questo processo deve assolutamente essere l'analisi del database, eccovi un consiglio per come agire:
1 - scaricate il database in sql sul desktop, analizzatelo con un software che ricerca malware, ne trovate decine sulla rete scrivendo su google scan malware for site, alcuni analizzando solo siti, ad alcuni potete sottoporre anche file ed è meglio usare servizi predisposti per siti che analizzano anche file in quanto piu specializzati al web.
2 - fatto questo, non e detto che il servizio trovi il malware, allora fate una ricerca all'interno del file cercando come parole chiave .ru, dato che la maggior parte di questo codice malevolo rimanda a siti malware con estensione .ru e di solito il codice infetto (quello ad esempio da me tovato su htaccess non riesce a nascondere tale indirizzo ma lo esibisce apertamente), questo potrebbe farvi risparmiare tempo nel caso in cui possedete database molto grandi.
Se trovate codice malevolo nel database rimuovetelo manualmente stando attenti a non compromettere il database, e se lo trovate, allora molto probabilmente il problema sta o nell utilizzo di qualche gestore di commenti non aggiornato come vecchie versioni di chrono comments, o dovete rivedere i permessi di registrazione e utilizzo dei vari utenti, un altra cosa che potete fare e cercare ed eliminare utenti registrati sospetti, soprattutto da author in su, li riconoscete perchè di solito sono registrati da automatismi e possiedono nomi ed e mail strani e difficilmente veri.
