¡Hola!

Gracias a la llamada de un cliente acabo de descubrir que todos los sitios de mi cuenta de hosting, que es una cuenta en server compartido en una empresa extremadamente popular en mi país, están infectados con código malicioso. Chrome abre una ventana de advertencia y todo.

El código malicioso consiste en un <script> que se agrega al final de las páginas PHP después del tag </html>. El script lleva a un sitio ruso.

El problema es el siguiente: los archivos no fueron modificados. Descargo el archivo: está sano. Accedo en el servidor: está infectado.

Subo un archivo PHP 100% nuevo y accedo en el servidor: está infectado. Lo descargo, lo vuelvo a mirar: está sano.

Todas las fechas de modificación son las correctas: hay archivos que están infectados y que no se modifican desde 2012 (y que al descargarlos compruebo que están intactos). Es como si el servidor web Apache mismo estuviera infectado, y pegara el código malicioso después de pasar por PHP. O como si hubiera un archivo .htaccess o algo así que dijera "a todos los archivos PHP, adherirles este código al final" (pero mis archivos .htaccess también están intactos).

Ya me comuniqué con el soporte técnico, y están trabajando sobre ello, pero me preguntaba si tenían experiencias similares, y si me pueden dar alguna pista acerca de cómo surgió este problema. Particularmente si es cosa mía o de ellos.

Desde ya, muchas gracias por su tiempo. Si necesitan información adicional para hacer un diagnóstico más certero, no duden en solicitármela.