Hola! He descubierto en mi vps que algún malparido hijueputa ha aprovechado alguna vulnerabilidad de plugins para meterme php troyanizados en masa hasta en las carpetas más recónditasl.
Clamscan y Maldet No Detectan NADA. De unos 100 archivos infectados, solamente ha detectado 5, los demás los he tenido que eliminar manualmente revisando cada carpeta existente y profunda de todos los wordpress. Además de para preguntar, hago este post para que reviséis vuestras webs ya que desconozco si ha sido alguna vulerabilidad de un plugin o es un zero day de la nueva versión de wordpress.
He encontrado en uno de los archivos una dirección IP que google me detecta como que pertenece a Ford Motor, imagino que estarán usando su servidor como receptor de la botnet de dominios que tendrá el susodicho, se dedica a generar webs parásito tratando de posicionar keywords como aimbot y hacks de juegos.
http://136.12.78.46/app/assets/api?action=page
Alguna idea de como blindar mi vps ante este ataque? He eliminado todos los archivos infectados (o eso quiero creer), pero ya que los principales antivirus de Linux no son capaces de detectar la amenaza, se os ocurre algo? O como puedo devolverle el gancho metiéndole algún bichillo en sus archivos? (Julio yo te invoco)
Un Saludo y gracias!