Tengo un cliente para el que desarrollé un sitio nuevo, aún no está activo porque él quería que primero hiciera una copia de seguridad del sitio antiguo. Este fue un sitio de tipo "directorio" completamente personalizado y la compañía que lo construyó (en 2003) creo que construye cada módulo desde cero.
Naturalmente, comienzo a mirar la gran cantidad de carpetas ubicadas en el servidor y lo que hay dentro de esas carpetas. Noté que había algunos archivos PHP de caracteres aleatorios, y también archivos de caracteres aleatorios con la última parte del nombre del archivo "php.jpg" y eso me pareció extraño.
Al examinar los archivos PHP, fue muy fácil averiguar qué tipo de archivo adjunto era cuando el creador de la herramienta dejó su firma en la parte superior e inferior de los archivos.
Los archivos de formato de imagen son lo que me pareció interesante. Supongo que se colocaron allí a prueba de fallos, por lo que si alguien notara los archivos PHP infectados, este atacante podría restaurar el acceso cambiando el nombre de "imagen". archivos de formato.
Aquí es donde me volví estúpido, o solo quería asegurarme de que estos archivos de imágenes pudieran ser legítimos y debían ser respaldados por el cliente. Gran error. Abrí un archivo y Windows 10 Security Center lo marcó instantáneamente como una infección.
Aquí está el registro de eventos me proporcionó respecto a la amenaza.
Como se trataba de una cuenta de alojamiento compartido, sin acceso a Shell, no pude instalar ninguna herramienta de seguridad basada en Linux (clamav, rkhunter, etc.).
¿Qué habrías hecho en esta situación? ¿Realice una copia de seguridad de todo el sitio y deje las infecciones en los archivos de copia de seguridad, o revise y limpie los hacks?