Sito bloccato dal provider

[tani.com]

Ciao a tutti,
qualche mese fa il nostro provider è cambiato diventando (per manovre commerciali loro) *** e da qui sono cominciati i problemi.
Inizialmente il porblema era la versione di Joomla che era la 2.x e allora la abbiamo aggiornata alla 3.x con necessario cambio di server per passare a uno che avesse php e quant'altro aggiornati.
Poi siamo stati 'spammati' da dbl.spamhouse con successiva immediata messa off line del sito da parte di *** il quale segnalava attività anomala. **** per metterci off line ha compresso e spostato tutto il contenuto del sito dalla cartella html pubblica a quella privata.
Noi abbiamo scaricato in locale il contenuto del sito e lo abbiamo decompresso facendo successiva scansione con diversi antivirus (panda, malwarebytes, ClamAV e Microsoft Security Essentials) e nessuno ha segnalato virus durante la scansione.
Una cosa sospetta che abbiamo riscontrato era la presenza di due file php nella cartella immagini, ma nessun antivirus l'ha segnalata come infezione.
Abbiamo provato a fare un ripristino del sito mettendo tutto il contenuto nella cartella html pubblica e il sito ha ricominciato a girare, ma dopo nemmeno un ora  dbl.spamhouse ci ha spammato un'altra volta.... a questo punto abbiamo nuovamente cancellato il contenuto del sito dalla cartella html pubblica. Dopo un'altra ora  la posta ha ricominciato a funzionare senza essere spammati.
Ora non sappiamo che pesci pigliare, anche perché non ci sembra che sul sito siano state installate estensioni particolari, definirei il sito un'opera minimalista.
Cosa consigliate di fare?

edit y mod.: No a citazione servizi commerciali

[tani.com]

Il mio collaboratore mi dice di precisare che originariamente il sito non era con una versione 2.x, ma 3.x e che effettivamente a un certo punto nel database sono comparsi degli utenti che lui non sa da dove provengano.
Molto probabilmente questi utenti potrebbero avere fatto qualcosa o installato qualcos'altro, ma dopo avere spulciato tutte le estensioni lui non vede ad occhio niente di anomalo.
Può essere che hanno fatto qualche cosa a sua insaputa, ma non riesce a capire cosa.

[tomtomeight]

Cortesemente evita di citare il servizio hosting, cosa non gradita in questo forum.
Segui i post in evidenza di questa sezione, oppure se hai un backup provvedi subito a ripristinarlo. Tieni presente però che una cosa sono i virus ed un altra cosa è un sito hackerato, nel senso che nessun antivirus troverà mai infetto un file php malevole messo lì per spammare o fare altro.

[tani.com]

Ringrazio per la risposta e chiedo scusa per avere citato l'Hosting, non c'era ne cattiveria e nemmeno voglia di fare pubblicità :-D
Abbiamo rimesso on line il sito rinominando i file *.php che si trovavano nella cartella immagini con *._php.
Ora abbiamo installato un estensione che fa la scansione del sito e ci dice che non ci sono virus, ma i seguenti file contengono del codice che può essere utilizzato per scopi malefici.
Qui quello che dice:
------------------------------------------
Review is required

/libraries/simplepie/simplepie.php

/libraries/joomla/application/daemon.php

/libraries/phputf8/utils/bad.php

/libraries/phputf8/utils/patterns.php

/components/com_jce/editor/tiny_mce/tiny_mce.js

/administrator/components/com_akeeba/engine/Archiver/Zip.php

/components/com_jce/editor/libraries/classes/utility.php

/libraries/vendor/joomla/application/src/AbstractDaemonApplication.php

/administrator/components/com_phocadownload/libraries/phocadownload/utils/settings.php

/components/com_jce/editor/tiny_mce/plugins/source/js/format.js

/components/com_jce/editor/tiny_mce/plugins/spellchecker/classes/pspellshell.php

/libraries/vendor/joomla/string/src/phputf8/utils/bad.php

/libraries/vendor/joomla/string/src/phputf8/utils/patterns.php

/libraries/vendor/symfony/yaml/Symfony/Component/Yaml/Escaper.php

/components/com_jce/editor/tiny_mce/plugins/source/js/codemirror/codemirror-compressed.js

----------------------------------------

Per quello che riguarda il backup che abbiamo temiamo che quelli che abbiamo siano già infettati perché abbiamo provato a installare l'ultimo e la situazione non è cambiata.
E quelli precedenti di backup sono un po' obsoleti :-(
Si può pensare di fare una pulizia dei file segnalati in precedenza?

[tomtomeight]

Dovresti verificare i file uno ad uno ma essendo un infinità, parecchie migliaia, puoi provare almeno a verificare quelli con data più recente. Dopo fai  un analisi sul sito https://sitecheck.sucuri.net//

[tani.com]

Ciao, fatta la scansione sul sito che mi hai suggerito e mi dice che, a parte il Firewall che non c'è, è tutto regolare