Recientemente, un amigo mío ha visto comprometido su servidor web: todos los archivos PHP fueron inyectados con código malicioso, en particular uno que parece llamarse "GetMama". Si observo esto, parece que la mayoría de la gente dice que es un malware que se dirige a las instalaciones de WordPress (y no puedo encontrar nada al contrario). Su sitio, sin embargo, no tiene ninguna instalación de WordPress en él. El servidor es hosting compartido cortesía de BlueHost, con acceso SSH / FTP. Si GetMama está destinado a ser un virus automatizado, me encantaría saber cómo comprometió el sitio sin ninguna instalación de WordPress. Después de limpiar GetMama de todos los archivos infectados con un poco de magia regex, unos días más tarde estaría de vuelta. Busqué en el sitio alguna señal de compromiso, pero no pude encontrar ninguna. Los registros de acceso solo se remontan a 24 horas o menos (no estoy seguro de si se trata de una política de BlueHost o de que se eliminen los registros). Otros síntomas incluyen un compromiso manual de la cuenta del administrador del foro, que inyecta código malicioso en las plantillas de vBulletin. El propietario del sitio cambió las contraseñas y no hubo más compromisos en el foro. Después de pensar que el sitio finalmente estuvo limpio por un tiempo, se envió un JS malicioso a los usuarios mediante un redireccionamiento 301 en un archivo .htaccess.
Básicamente, agradecería saber cómo lidiarían con una situación como esta. No puedo averiguar cómo encontrar el punto de compromiso. Por ejemplo, ese archivo .htaccess apareció en los últimos días, pero no hay datos registrados sobre cómo, solo cuándo. Al igual que con la inyección maliciosa de código PHP, no veo ningún dato sobre qué modificó esos archivos. Cambiamos las contraseñas, pero aún así, SSH no informa a ningún usuario no autorizado que haya iniciado sesión en los últimos meses (al menos). ¿Qué métodos podría usar para analizar infecciones futuras y ubicar su punto de compromiso (teniendo en cuenta que estoy en un alojamiento compartido sin privilegios de root para trabajar)?