Virus trovato nel mio sito

[swfabio]

Buongiorno a tutti,
è la prima volta che scrivo su questo forum, quindi spero di non scrivere qualche baggianata.
Vorrei richiedere gentilmente un vostro aiuto per il mio sito è stato bloccato a causa di un malware che sembra stia campeggiando da un po' di tempo.
Mi è stata inviata appunto una mail da AlterVista il quale mi segnalava questa presenza nella cartella /irsgov.
Ecco una parte del testo della mail:

Per sbloccare nuovamente l'account occorre accedere al pannello di controllo e impostare una nuova password, successivamente potrà eliminare il file /irsgov/ utilizzando la gestione file del pannello di controllo.

Questa cartella però non era presente nella root del mio sito ed in nessun'altra sotto-cartella. Ho trovato però delle pagine htm contaminate con dei link a siti non molto appropriati. I miei sorgenti però sono puliti.
Quindi ho cancellato tutto il sito e ripristinato i file direttamente dal pannello di controllo di AlterVista.
Ora la mia domanda è: come faccio a riabilitare il sito? Anche perchè l'accesso FTP è disabilitato.

Grazie in anticipo per una eventuale vostra risposta.
Saluti,
Fabio.

[dapeco]

Il problema è probabilmente il file .htaccess compromesso. Devi bonificarlo (o eliminarlo completamente) e dovresti ripristinare il corretto funzionamento del sito web. Cosa molto importante è comunque aver ripulito il tuo pc!

[swfabio]

Perfetto grazie,
ho eliminato il file da te indicato ed ora funziona correttamente.
La cosa strana é che i miei file sorgenti sono puliti, quindi non credo di aver uploadato file con codice malevolo.
Grazie ancora,
ciao
Fabio.

[dapeco]

Il problema è differente: è stato caricato (o modificato) il file .htaccess. La modifica prevedeva di fornire, ad ogni richiesta di pagina non esistente, un contenuto malevolo, quindi il malintenzionato poteva far circolare url che sul tuo sito non esistevano ottenendo il risultato voluto. Tale tipo di infezione avviene solitamente via ftp, "rubando" le credenziali di accesso direttamente dai programmi che vengono utilizzati per aggiornare il sito web mediante un semplice worm. Per questo bonificare il contenuto è solamente un paliativo, poiché se è ancora presente il worm sul pc (per questo la prima cosa da fare è una scansione con un buon antivirus) e solo successivamente modificare le credenziali e poi bonificare.

Perfetto grazie,
ho eliminato il file da te indicato ed ora funziona correttamente.
La cosa strana é che i miei file sorgenti sono puliti, quindi non credo di aver uploadato file con codice malevolo.
Grazie ancora,
ciao
Fabio.

...ma se vuoi andare sul sicuro, passa a Mac, io sul mio non ho installato nemmeno l'antivirus e non ne ho mai beccato neanche uno.