código embebido en archivo

Hola, me dedico al desarrollo web y hace relativamente poco me encontré con un caso que me pareció curioso y que no logró conseguir reparar, a ver si podéis echarme una mano, os lo agradecería.

El caso, es que tengo un cliente, que cada cierto tiempo tiene problemas con su web , y es que tiene diversos comportamientos extraños, como por ejemplo que no funcionan ciertas funcionalidades manejadas con jquery o te deriva a otros sitios o te pide de descargar plugins, entre otras cosas, la cuestión es que todo esto es simplemente que alguien o algo añade al código de la web un par de líneas que lo que suelen hacer es derivarte o cargar otros sitios.

Bueno, la primera vez que lo ví, simplemente borré lo que se había escrito y listo, la segunda igual, pero después empece a mosquearme, cambiar contraseñas, permisos,... no sé que hacer borro el código pero al cabo de poco tiempo se vuelve a escribir encima dichas líneas (no siempre son las mismas pero siempre son enlaces esternos con la etiqueta script). Esta web es una cuenta de un servidor de pago, mi pregunta es que pasa? como puedo arreglarlo?

Se supone que al ser un servidor de pago, tendría que tener una seguridad, no? como escriben en el código si le he quitado los permisos de escritura? estoy un poco loco con esta situación porque hace poco me paso con un segundo cliente.

Tengo que decir que a ambos les ocurre esto desde antes que apareciera yo, por lo que no se exactamente el origen de esto, pero en ambos casos las webs estuvieron en la lista negra de google (eso de malware) y tuvieron que subirse el código especial para validar la web, desde entonces a ambos cada cierto tiempo les pasa lo mismo y empiezo a estar cansado de borrar y borrar, os agradecería si podéis darme una solución.

Un saludo y gracias.

Hola:

Puede que te modifiquen los ficheros a través del usuario FTP del dominio o bien a través de alguna vulnerabilidad de la propia web.

Para poderlo controla bien, debes subir siempre los ficheros desde el mismo PC, y tener controlado con antivirus dicho PC. Cambiar periódicamente la contraseña y que sea compleja (larga y que mezcle números, mayúsculas, minúsculas y símbolos).

En cuanto a la web en sí, has de ver si es un gestor de contenidos público (joomla, wordpress, prestashop, etc) y si es así, procurar mantenerlo actualizado porque cuando alguien saca una vulnerabilidad de estos gestores explotan todas las webs que pillan, y hay que mantenerlo actualizado.

Si se trata de programación propia, debes debuguear a través de los logs por donde ha podido llegar la intrusión.

Espero que te hayan servido de ayuda estos comentarios.

Saludos!

Hola schloss, ya creí que la cosa era complicada porque nadie se atrevía a contestar para aconsejarme.

La web no tiene gestor de contenidos, por lo que vulnerabilidades por esto no serán. Es de código propio pero como te digo esto es de antes que yo metiera mano y antes estaba casi vacía habían 4 archivos de configuración y pasaba lo mismo, no sé si podría ser por el código pero supongo que todo es mirarlo como dices, con lo de debuguear a través de los logs a que te refieres?

Lo de las contraseñas creo que llegue a cambiarlas pero volveré a hacerlo y ponerlas más complicadas, no había caído en los usuarios FTP, pegaré un repaso a todo el sistema de contraseñas y los usuarios ya sean web, FTP,... a ver si surge el efecto.

Un saludo y gracias por contestar