Hola Eduardo, La verdad es que me he vuelto loco buscando en los logs del sistema y no he visto nada. Ni se me había ocurrido pensar en que haya sido por FTP. Si que es cierto que hay varios sitios alojados en el server y no todos están afectados, con lo que esa debe haber sido la vía. Mañana me revisare los logs del FTP a ver qué veo... Gracias por el apunte! El 20/01/2014, a las 21:04, "Eduardo M. Guirao" <santeador@xxxxxxxxx> escribió: > Hola David, > > Siento no poder ayudarte con el grep, pero si creo que has sido víctima de > una ataque de adware por FTP. Muy problabe si utilizas Filezilla, que > almacena las contraseñas en texto plano... Si es así, cambia las contraseñas > y utiliza mejor SFTP. > > Espero que otro BOFHer pueda ayudarte con la sintaxis para la eliminación del > código malicioso. > > Un saludo. > > > El 20 de enero de 2014, 19:38, David López <meencantaesto@xxxxxxxxxxx> > escribió: >> Queridos #BOFHers y #BOFHars, vuelvo a vosotros en estas horas tan sombrías >> en busca de un poco de conocimiento... >> >> Os cuento, tengo un servidor web que sirve páginas PHP y al cual le han >> encasquetado porquería del estilo >> >> <?php eval(base64_decode('AASDASDasdasdasDASDSADSAsa...'); ?> >> >> al comienzo de los archivos index.php, config.php, functions.php etc, es >> decir un clásico. >> >> Tengo todos los ficheros localizados y quiero eliminar la línea que me han >> metido, y para ello uso grep y sed. La cuestión es que me funciona casi al >> 100%, pero hay 2 caracteres que no consigo eliminar y no tengo ni idea de >> por qué... >> >> El comando que estoy usando es este: >> >> grep -rl "churro_codificado_en_base64" /ruta_www/ | xargs sed -i >> 's/<\?php.*churro_codificado_en_base64.*\?>//g' >> >> y el problema es que no me elimina al completo la línea, si no que me deja >> algo así: >> >> <?<?php >> >> es decir, que me sobra un <?. >> >> Alguna idea de por dónde estoy metiendo la gamba? Y ya puestos, sabeís cómo >> me lo han podido meter? >> >> Grasias de antebraso ;) >