Purtroppo ho provato a fare una scansione completa con Avira facendo un boot da CD, ma non ha trovato nulla di strano come immaginavo, è un po' difficile trovare un virus "Vero" in un server web, ma andando ad esclusione questo tentativo andava fatto.
Praticamente il problema è partito quasi sicuramente da quella versione di Zencart non aggiornata, (era un noto bug che è stato sfruttato dove l'attaccante ha creato delle backdoor tipo ghdd.php nella cartella immagine di tale sito), oppure
qualche accesso FTP rubato (difficile perché le password sono abbastanza robuste) , oppure qualche computer infetto di chi si collegava via FTP al suo sito.
Presi tutti i provvedimenti del caso, cioè aggiornato Zen, cambiare password FTP dei siti sospetti etc. non so cosa altro pensare, come fa a scrivere quel file nelle root dei siti, soprattutto a tutti i siti ? Per ora ho eliminato i permessi di scrittura
all'utente users (aveva permessi di scrittura nella Autorizzazioni speciali in tutta la cartella dove sono i siti).
Se la mia teoria è giusta, il sito o i siti infettati, ora che non ci sono piu' i permessi di scrittura, dovrebbero poter scrivere solo dove hanno i dati di accesso e non a tutti, in tal caso sarebbe fatta perché, se si crea il file sospetto
solo in un sito allora è sicuro che è quello il problema.
Ovviamente se avete suggerimenti sono piu' che graditi...
