Hola a todos, recientemente he encontrado en uno de los dominios que alojo en un dedicado, un par de archivos php un poco sospechosos, los cuales inspeccioné y contenían lo siguiente:
Código PHP:
<?php eval(gzinflate(base64_decode("HZ3HkqvalkX/5bXuDRogPFHxGsJ77zsVeO89.............
Lo cual, tras decodificarlo muchas veces he accedido al código de la aplicación en sí, tratándose de un completo explorador de archivos, sql, consola...
En resumen, el atacante ha tenido acceso a todos los php que hay en éste dominio, además de acceso completo a la base de datos, el último día que sucedió ésto fué el 22 de diciembre, me baso en la fecha de creación del script php con el que ha tenido acceso a todo...
Actualmente estoy cambiando contraseñas de todo aunque no creo que sea suficiente pues si ha metido el archivo una vez, de alguna forma podrá volver a hacerlo...
De alguna forma podría localizar el origen del agujero de seguridad por el que ha colado el script? temo que vuelva a suceder y vuelva a comprometer toda la seguridad del sitio...
Como observación, uso Plesk 10.4.4#47, Centos 5...
Necesito ayuda urgentemente...
Ah, gracias por adelantado y feliz año a todos!