Aggiornamento della situazione:
Su due siti ho effettuato la seguente procedura:
Scricato il back up, passato con antivirus: trovati dei file sospetti, controllati con le versioni di joomla che avevo sul pc e non esistevano quindi rimossi.
Pulito tutto il server, ricaricato il back up pulito.
Ha funzionato per circa 12 ore e poi si sono criccati.
I siti in questione sono
www.michelegavazza.co.ukcon joomla 2.5.7
( si lo so avrei dovuto aggiornare il core ma il mio hosting non riesce a farlo in maniera automatica e quindi devo farlo via ftp, ieri ho scaricato i back up di tutti i siti, quelli settimanali e l'ftp era occupato, volevo farlo oggi e si è ripresentato il problema prima che io potessi farlo.)
dopo aver ripristinato ho aggiornato joom gallery e jce alle ultime versioni disponibili.
altro sito
www.sarahrinaldo.comjoomla 1.5.26
Tutti e due i siti hanno come componente joom gallery e scartabellando nelle cartelle che ho in locale ho notato delle differenze con quelli sul server ma essendo la prima volta che li controllo non vorrei che non li conoscessi io. Per esempio nella cartella controllers in locale ho un file votes.php e sul serer ho un file in più chiamato votes.json.php.
La cosa ancora più strana che , al momento su altri due siti dove avevo problemi il tutto si è rimesso a posto da solo prima che lo toccassi. Avrei comunque pulito il server in giornata ma sembra che il trojan si sia sopito al momento.
Al momento non so che pesci prendere.
