Ver Mensaje Individual
  #1 (permalink)  
Antiguo 02/01/2013, 06:38
crash1912
 
Fecha de Ingreso: noviembre-2010
Ubicación: Badajoz
Mensajes: 94
Antigüedad: 14 años, 1 mes
Puntos: 4
Necesito localizar el origen de un ataque

Hola a todos, recientemente he encontrado en uno de los dominios que alojo en un dedicado, un par de archivos php un poco sospechosos, los cuales inspeccioné y contenían lo siguiente:

Código PHP:
<?php eval(gzinflate(base64_decode("HZ3HkqvalkX/5bXuDRogPFHxGsJ77zsVeO89.............
Lo cual, tras decodificarlo muchas veces he accedido al código de la aplicación en sí, tratándose de un completo explorador de archivos, sql, consola...
En resumen, el atacante ha tenido acceso a todos los php que hay en éste dominio, además de acceso completo a la base de datos, el último día que sucedió ésto fué el 22 de diciembre, me baso en la fecha de creación del script php con el que ha tenido acceso a todo...

Actualmente estoy cambiando contraseñas de todo aunque no creo que sea suficiente pues si ha metido el archivo una vez, de alguna forma podrá volver a hacerlo...

De alguna forma podría localizar el origen del agujero de seguridad por el que ha colado el script? temo que vuelva a suceder y vuelva a comprometer toda la seguridad del sitio...

Como observación, uso Plesk 10.4.4#47, Centos 5...

Necesito ayuda urgentemente...

Ah, gracias por adelantado y feliz año a todos!