[SOLVED] Aiuto eliminazione Trojan JS/Kryptik.AJR da sito joomla

[FlowerPower]

Salve a tutti!
Vi chiedo aiuto per scovare ed eliminare il trojan che affligge il mio sito joomla versione 1.5.26, mi viene rilevato da nod32 ogni volta che visito il sito ed in effetti l'ho trovato visualizzando il sorgente dell'homepage, il codice è *******
Vi allego anche uno screen shot che mostra un pezzo del sorgente della pagina, potrete vedere che alla prima riga c'è uno <script> che non dovrebbe esserci, solo dopo, sulla stessa riga, c'è <!DOCTYPE html PUBLIC "-/...

Ho usato il grep con cygwin per trovare il file incriminato, ma non ho trovato nulla, quali sono i file che possono inserire elementi nel sorgente della home page?
Sapete come posso eliminare questo trojan?
Vi ringrazio anticipatamente!!!

edited: rimosso codice malevolo.

[mau_develop]

sovrascrivendo tutti i files (anche quelli delle estensioni che hai installato) con quelli di pacchetti nuovi della stessa versione
... e dando un occhiata al post in testa alla sezione.

per dessert ti consiglio qs:
http://www.joomla.it/notizie/6983-la-vera-sicurezza-per-il-tuo-sito-joomla-e-il-tuo-atteggiamento.html

[FlowerPower]

Grazie! Infatti stavo leggendo proprio il tuo post in testa alla sezione, il sito l'avevo blindato dopo questo presumibile accesso seguendo varie procedure, ma non ero ancora riuscito a trovare il trojan, comunque si il tuo consiglio è la via più sicura ma mi costerebbe davvero molto tempo per reinstallare tutto, troppo, cercavo quindi un'aiuto che mi potesse indirizzare direttamente sul trojan ed eliminarlo. Seguirò il tuoi consigli e in gran parte li ho già seguiti senza aver mai letto il tuo post e devo dire che è molto utile, se però c'è una via più veloce per l'eliminazione del trojan ne sarei ben contento.
Qualche idea che mi possa aiutare?
Grazie!

[mau_develop]

reinstallare è una possibilità ma quello che ti ho suggerito sopra non è di reinstallare ma di sovrascrivere... fatica 0
Trovare uno script iniettato in chissà quanti punti quella si che è fatica ... e inutile.

[FlowerPower]

Hai ragione, ci avevo pensato ieri sera. Sovrascrivo con la versione 1.5.26 che è la stessa del mio sito e faccio la stessa cosa per le componenti. Ho dato un'occhiata al dump del db e mi sembra pulito, potrebbe annidarsi qualcosa anche li? Ti faccio sapere come va, questa sera faccio un backup del sito e del db e sovrascrivo.
Grazie!

[mau_develop]

 potrebbe annidarsi qualcosa anche li?
-----------------------------------------------------
difficile. Non si riesce a scrivere sul db con un exploit, riesci a farlo solo successivamente con una shell

[FlowerPower]

L'ho trovato!!!!!! Ho trovato dove lo stronzo mi aveva infilato il codice del trojan!!! Ho seguito prima la tua procedura, cioè ho sovrascritto i file con l'ultima versione di joomla 1.5.26b ma il trojan anche dopo questo persisteva, quindi a quel punto ero certo che si annidava o in una componente aggiuntiva oppure in un template, ho provato prima con i template impostandone come predefinito uno diverso e voilà!!! Il trojan è scomparso ho così capito che l'aveva infilato nel template ed infatti l'aveva infilato nel file index.php del template predefinito, ho eliminato il pezzo di codice interessato e fine della storia!!!
Grazie davvero! Mi hai aiutato ad indirizzarmi sulla buona strada!