Il mio sito ha un trojan e un link a un sito che io non ho mai messo!!

Ciao a tutti...
Premetto che spero di aver postato nella sezione giusta, e che essendo un po' imbranata coi pc ho già fatto una ricerca su questo forum riguardo ai trojan ma non ci ho capito molto, quindi vi posto il mio caso sperando che qualcuno mi possa aiutare.

E' da circa 2 giorni che quando vado sul mio sito http://sdarenzano.altervista.org/ Avast mi dice che c'è un trojan. Il nome del malware sarebbe " JS:ScriptSH-inf [Trj] ".
La pagina si è comunque aperta, ho dato un'occhiata veloce e l'unica cosa anomala che ho trovato è stato in fondo al sito, dove c'è scritto "copyright 2008 NOME DEL SITO" (uso wordpress e i template di wp prevedono sempre una scritta simile in fondo, credo). Praticamente di fianco a questa scritta è comparso il link "Antibiotics" che rimanda a una pagina di pubblicità per Viagra e altre medicine...
Questo link io non l'ho assolutamente mai messo! Può essere quello il famoso trojan rilevato da Avast?

Allora, intenzionata ad eliminare quel link, sono andata prima a vedere la sorgente della pagina. In fondo c'è:

<div id="footer"> &copy; 2008 <a href="http://sdarenzano.altervista.org/blog/">
Sinistra Ecologia Libertà – Arenzano Cogoleto Valle Stura</a>. <a href="http://antibiotics-list.com/" title="Antibiotics">Antibiotics</a>
<div id="credit"></div>

Quindi dovrei eliminare il codice relativo ad Antibiotics...right?
Vado nella pagina di amministrazione di Wordpress, nell'editor, nella parte del "piè di pagina - footer", ma di Antibiotics nessuna traccia! L'unico codice che compare nel "footer" è:

<?php eval(base64_decode('Pz4gPCEtLSBiZWdpbiBmb290ZXIgLS 0+DQoNCjxkaXYgaWQ9ImZvb3RlciI+ICAmY29weTsgMjAwOCA8 YSBocmVmPSI8P3BocCBlY2hvIGdldF9zZXR0aW5ncygnaG9tZS cpOyA/Pi8iPg0KICA8P3BocCBibG9naW5mbygnbmFtZScpOyA/PjwvYT4uIDw/cGhwIGlmKGlzX2hvbWUoKSkgOiA/PjxhIGhyZWY9Imh0dHA6Ly9hbnRpYmlvdGljcy1saXN0LmNvbS 8iIHRpdGxlPSJBbnRpYmlvdGljcyI+QW50aWJpb3RpY3M8L2E+ PD9waHAgZW5kaWY7ID8+DQoNCiAgPGRpdiBpZD0iY3JlZGl0Ij 48L2Rpdj4NCjwvZGl2Pg0KPC9kaXY+DQo8L2JvZHk+PC9odG1s PiA8Pw=='));?>

e anche nelle altre sezioni dell'editor, cercando la parola "Antibiotics" non viene fuori nulla!
Come posso fare a rimuoverlo? Secondo voi è quello il trojan di cui Avast mi avverte ogni volta?

Vi ringrazio in anticipo se avrete la pazienza di spiegarmi in parole semplici ciò che devo fare, e scusate se posto magari un argomento già affrontato ma da me non compreso a sufficienza...

[dementialsite]

È davvero probabile che il codice maligno sia quello... se lo infilo in un base64 decoder ottengo questo risultato:

Codice:

?> <!-- begin footer -->

<div id="footer">  &copy; 2008 <a href="<?php echo get_settings('home'); ?>/">
  <?php bloginfo('name'); ?></a>. <?php if(is_home()) : ?><a href="http://antibiotics-list.com/" title="Antibiotics">Antibiotics</a><?php endif; ?>

  <div id="credit"></div>
</div>
</div>
</body></html> <?

Intanto, puoi rimuovere senza problemi il codice dal file, dato che vi hai accesso. Meglio, potresti ripristinare il footer di default, che dovrebbe essere questo:

Codice:

<!-- begin footer -->

<div id="footer">  &copy; 2008 <a href="<?php echo get_settings('home'); ?>/">
  <?php bloginfo('name'); ?></a>. 
  <div id="credit"></div>
</div>
</div>
</body></html>

Quanto all'evitare il ripetersi di questi "inconvenienti", valgono i soliti controlli di routine: aggiornare l'applicativo, verificare l'integrità dei contenuti (lo spam potrebbe essere finito in qualche altra parte), e cambiare le password di amministrazione.

Stammi bene...

Grazie mille ho fatto come hai suggerito te e in effetti la scritta è scomparsa :-)
però avast continua a dirmi che c'è un trojan... uffa... mi sa che devo andarlo a cercare manualmente...non ho idea di come si faccia! un amico mi ha suggerito di controllare in tutte le cartelle nella "gestione file" per vedere se c'è un file con un nome strano...mah...vedrò :-)
grazie ancora!

[andreafallico]

In quale pagina viene rilevato il virus? Perchè, nel sorgente delle pagine, non vedo codice sospetto.

A me Avast lo segnala appena accedo alla home! Ti metto uno screenshot:

http://img704.imageshack.us/img704/2...sdarenzano.jpg

Però quando entro come amministratore nella pagina di wordpress, digitando il classico "sdarenzano.altervista.org/wp-admin" Avast non dice più nulla... e nemmeno quando accedo al sito passando dal pannello di controllo di wordpress... L'avviso del trojan compare solo quando digito manualmente "http://sdarenzano.altervista.org", o quando clicco sulla sua icona nei preferiti!

[andreafallico]

Il codice malevolo si trova nella pagina index.php:

Codice HTML:

<script>
var t="";var arr="646f6....
</script>

devi rimuovere questo codice.

-

La pagina index.php che si trova nella root.

-

Alla fine la pagina index.php deve contenere solo questo:

Codice PHP:

<?php
header("Location: /blog/");
?>