Ho risolto cambiando server (un hosting business linux di r----ter.it ereditato dal cliente) che mi stava già dando grattacapi da un anno, non avevo mai spostato solo perché il cliente aveva la pec legata a loro e spostarla significava restare senza per almeno 10 giorni.
Il sito era comunque stato bucato (anche se r----ter.it non mi ha mai inviato alcuna notifica in merito) e a trasferimento avvenuto ho fatto numerose scansioni e seguito le classiche procedure per la bonifica. Va detto che senza far nulla, il problema del file in download al primo click era già scomparso nonostante i file compromessi ancora presenti, quindi non ti so dire se il problema fosse solamente il server oppure un problema di malware.
