Hace unos minutos me encuentro con que mi sitio web se llenó de mierda a más no poder durante el ataque... o bién fue antes o después, el caso es que estaba infectado de Malware :s .
Pasando el ClamAV me encuentro con los siguientes ficheros infectados:
-
wp-contenty/themes/c99_Xrogue.php ( "Virus" PHP.C99-3 )
-
wp-content/uploads/2009/08/Xrogue_r57.php ( PHP Shell )
Por otro lado habían instalado un iframe en el index.php todos los ficheros index.php e index.html del sitio que llevaba a un sitio llamado odmarco.com (no vayáis, me parece que instala malware... si vais con Linux o algo del estilo simplemente vigilad las cookies y ese tipo de cosas no sea que hayan encontrado un modo de leerlas ilegítimamente a través del sitio, por los virus no creo que haya problema).
Me he enterado porque los de google han clasificado mi sitio como sospechoso (gracias a lo del iframe)... Me tendré que poner a cambiar claves de inmediato.
Actualización:
He corregido un bug que supuestamente se había corregido en la última versión de WP.. pero resulta que no. consiste en cambiar la línea:
if( empty( $key) )
del fichero wp-login.php por la línea
if( empty( $key) || is_array( $key ) )
Por otro lado he borrado el fichero readme.html y he modificado algo más WP y el tema que uso para que no muestre el número de versión (instalé un plugin que en teoría hacía eso... pero no, otra vez anunciaban funcionalidades que no existían :s).
¡Vaya putada! Te voy a pasar otro enlace, de un caso parecido (por si las moscas).
Muchas gracias ^^, me podré a revisar todos lo que encuentre entre esos datos.
En teoría ya no pueden hacer mucho más de lo que hicieron porque me encargué de mejorar algo la seguridad... cambié todas las claves y las he cambiado a razón de una vez por semana.. pero lo que se hizo antes no lo había encontrado U_U . Aún así nunca está demás algo de seguridad añadida :p .