Necesito localizar el origen de un ataque

Hola a todos, recientemente he encontrado en uno de los dominios que alojo en un dedicado, un par de archivos php un poco sospechosos, los cuales inspeccioné y contenían lo siguiente:

Lo cual, tras decodificarlo muchas veces he accedido al código de la aplicación en sí, tratándose de un completo explorador de archivos, sql, consola...
En resumen, el atacante ha tenido acceso a todos los php que hay en éste dominio, además de acceso completo a la base de datos, el último día que sucedió ésto fué el 22 de diciembre, me baso en la fecha de creación del script php con el que ha tenido acceso a todo...

Actualmente estoy cambiando contraseñas de todo aunque no creo que sea suficiente pues si ha metido el archivo una vez, de alguna forma podrá volver a hacerlo...

De alguna forma podría localizar el origen del agujero de seguridad por el que ha colado el script? temo que vuelva a suceder y vuelva a comprometer toda la seguridad del sitio...

Como observación, uso Plesk 10.4.4#47, Centos 5...

Necesito ayuda urgentemente...

Ah, gracias por adelantado y feliz año a todos!

En el dominio en cuestion , usas algun tipo de CMS como Joomla? wordpress? etc ??

estos cms , si no estan actualizados , asegurados o parchados, podrian tener estos "huecos" de seguridad que estas presentando.

Gracias por responder, no uso ningún cms desde hace muchísimo tiempo, descartaría esa opción... y hasta la fecha me considero bastante cuidadoso con la validación de todos los datos que pueda introducir el usuario en el sitio...
Claro está que algún despiste he podido cometer en el desarrollo del sitio, pero no tengo muy claro cómo localizar dónde exactamente...
Tengo acceso a los logs del servidor, aunque no sé cuál ni por dónde empezar a mirar, no me vendría mal un poco de ayuda..

Bueno, revisa si tienes tus software actualizados , es decir, ultimas versiones de php, apache , plesk, etc etc

Ahora, para bloquear el base64 , puedes desactivar esa funcion.

edita tu php.ini y en el campo "disable_function" , agrega base64_decode , entre otras funciones para asegurar tu php.

La primera medida que tomé fué deshabilitar la función gzinflate, con ésta debería ser suficiente para evitar que vuelvan a ejecutar exactamente el mismo script, pero si lo han logrado colar en una línea todo, seguro que también pueden meterlo sin comprimir y sin codificar, deshabilitar más funciones parece se una forma de matar moscas a cañonazos, no parece la solución...

Las versiones de todo los software se vienen actualizando casi que cada mes junto con cada actualización de plesk, sospecho que el fallo de seguridad puede venir de algún descuido mío en el sitio web, pero buscarlo sin saber por dónde empezar... no sólo puede ser muy laborioso sino que además fácil que se me vuelva a pasar por alto, ya que son muchísimos php y bastante extensos...

Lo que sí he podido verificar es que no haya sido modificado ninguno por el atacante, basándome en una búsqueda basada en la fecha de modificación de cada archivo.

¿Existe algún log en el que se registre qué script ha creado un fichero nuevo en un rango de fechas específico? El atacante creó varias copias del script en cuestión...


Ah, y muchísimas gracias por todo ;)

recuerda que plesk actualiza solo plesk
plesk no actualia php, ya que para ello debes de recompilar PHP
lo mismo ocurre con apache

Si bien desactivar funciones que no necesitas te parece "matar moscas a cañonasos" , el camino que estas pensando tomar en buscar una aguja en un pajar.

Si yo tuviera que elegir entre matar moscas a cañonasos o buscar una aguja en un pajar, optaria por lo primero , es mas rapido y efectivo.

por si estas buscando log , estos normalmente se encuentran en /var/log