Inserción código eval() malicioso

Hola a todos, tengo un servidor dedicado con linux y unas 100 carpetas con dominios de clientes.

Hace poco me encontré que en determinadas webs, no todas, había algo que introducía un código en los archivos php, el típico eval(base_64....) y hace que no funcione la web. Dicho código se inserta en todos y cada uno de los archivos php, no solo en los index.php o footer, incluidas subcarpetas.

Tengo que hacer el borrado mediante el shell de linux porque a mano sería imposible.

El caso es que no sé por donde entran, he probado a cambiar la contraseña del FTP general que tiene acceso a todos los dominios (que es la misma que la del cpanel) y nada, vuelve a entrar.

Lo curioso es que se modifica el contenido de los archivos pero no parece que se modifique la fecha de última modificación.

En principio no he visto archivos raros dentro de las carpetas afectadas.

Solo se me ocurre cambiar la contraseña del SSH por ver si es que entran por ahí, pero tengo puesto un firewall que restringe el acceso vía SSH a determinadas IPs.

¿Donde puedo buscar más?

He accedido a los logs var/log/secure y var/log/messages y no encuentro accesos extraños vía ssh o con el usuario principal del FTP.

Puede que te hayan subido una shell, así funcionan algunas meten código en todos los PHP, si no tienes buena seguridad afecta a todas las cuentas de clientes que tengas.

Usa un anti malware: http://kb.skamasle.com/2013/anti-mal...near-carpetas/

Si fue una shell puede que tengas suerte y no hayan accedido al root, algunos suben solo para hacer defaces meter enlaces en las webs o subir algún mailer y hacer spam que esto sería lo más grave por que puedes tener problemas con tu proveedor por spam.

Quieres decir que es pos¿ible que haya algún script que se ejecute cada cierto tiempo y llene de código algunas carpetas?

Imagino que para afectar a casi todas las carpetas de los dominios, el script debería estar en algún nivel superior. En el raíz del /public_html no he visto nada raro. Puede ser que esté por encima?

Gracias por la respuesta.

No es que se ejecute solo es que alguien subio la shell y la ha ejecutado, es lo más probable.

Y si puede estar en cualquier carpeta, una shell puede dar acceso a todos los archivos, por resuirte el concepto de shell, es un administrador de archivos, file manager etc, es más ahora lo llaman así algunos, administrador de archivos hecho en PHP, puedes ver casi todo el server si php y apache no tienen las restricciones necesarias.

Lo bueno es que ver, no siempre es poder tocar, si los permisos están bien podrá ver muchas cosas menos lo de root, o sea si PHP se ejecuta con un usuario la shell solo podrá editar los archivos que pertenezcan a ese usuario, si tienes el asunto con mod_php ( DSO ) o sea sin suexec y suphp, la shell puede acceder y editar todos los archivos PHP de todos los usuarios.

Hola skamasle, decía lo de que se ejecutaba solo porque limpio todos los archivos de todas las webs vía consola y al dia siguiente ya los tengo de nuevo infectados. Creía que sería como comentas, que entra alguien y ejecuta, pero como he comentado he visto los accesos al SSH o FTP y no aparece nada fuera de lugar.

Para más datos, el virus o lo que sea modifica el interior de los archivos pero deja la fecha de "ultima modificación" sin tocar, como si no la hubiese cambiado nadie.

A modo de prueba ayer puse una carpeta dentro de public_html con nombre "virus" y dentro un index.php casi vacío. Pues hoy me lo he encontrado infectado también.

Voy a pasar el antimalware que comentas a ver porque ya llevo muchos días así y me mosquea bastante.

Ah, por cierto, los archivos que se infectan tienen 644 de persmisos.

Pues lo primero es cambiar todas las contraseñas así descartas eso.

Por otro lado si es una shell, no se accede al FTP ni al SSH si no que se entra a la shell.

Revisa el log de errores a ver si ves algo extraño.

Por cierto en PHP, deshabilita algunas funciones: exec, shell_exec etc y también intenta deshabilitar la función eval temporalmente y el ini_set.

He revisado los logs para ver si hay accesos ajenos de ssh o ftp y nada.

¿a que te refieres con "... si no que se entra a la shell"?

La shell es un script en PHP que puede venir con un plugin o theme de una fuente no fiable digamos dominio.com/wp-content/themes/eltheme/help.php

Ese archivo puede ser la shell, entras a ella por medio del navegador y tienes una que otra función interesante, hay muchos tipos de shell con muchas funciones, yo tengo unas 30, todas de servidores infectados, las voy guardado para analizarlas y ver que hacen para luego detectarlas más fácil o bien bloquear las principales funciones que usan y así aunque suban una no la pueden ejecutar.