Ho scoperto che qualcuno aveva ottenuto l'accesso tramite il software del server FileZilla al mio Windows 2012 Server. Sembra che avessero creato account extra e stessero cercando tentativi di forza bruta di entrare quasi costantemente.
Ad ogni modo, qualsiasi pagina PHP in esecuzione su uno dei miei siti su questo server ha avuto un iframe con un link a un file exe dannoso da un IP cinese come sorgente. Ho arrestato il server FTP ed è stato in grado di implementare X-Frame-Option: DENY in IIS per impedire che il file provasse a scaricare. Tuttavia, ora sto cercando di giocare a detective e trovare dove si trova questo codice dannoso.
Ho provato a cercare su IIS, ma credo che sia specifico per PHP. Ho cercato nei file php.ini i riferimenti a questo indirizzo IP ma non ho trovato nulla.
Se qualcuno potesse consigliare modi per trovare e pulire il codice iframe dannoso, sarebbe apprezzato. Ho installato PHP 5.3 e 5.4 dal programma di installazione della piattaforma Web.
Grazie.