La primera medida que tomé fué deshabilitar la función gzinflate, con ésta debería ser suficiente para evitar que vuelvan a ejecutar exactamente el mismo script, pero si lo han logrado colar en una línea todo, seguro que también pueden meterlo sin comprimir y sin codificar, deshabilitar más funciones parece se una forma de matar moscas a cañonazos, no parece la solución...

Las versiones de todo los software se vienen actualizando casi que cada mes junto con cada actualización de plesk, sospecho que el fallo de seguridad puede venir de algún descuido mío en el sitio web, pero buscarlo sin saber por dónde empezar... no sólo puede ser muy laborioso sino que además fácil que se me vuelva a pasar por alto, ya que son muchísimos php y bastante extensos...

Lo que sí he podido verificar es que no haya sido modificado ninguno por el atacante, basándome en una búsqueda basada en la fecha de modificación de cada archivo.

¿Existe algún log en el que se registre qué script ha creado un fichero nuevo en un rango de fechas específico? El atacante creó varias copias del script en cuestión...


Ah, y muchísimas gracias por todo ;)