Tengo un sistema que usa openx para servir banners. Recientemente he notado que varios archivos de caché en / var / cache contienen código infectado. El código contiene consultas de SQL que crean varios archivos php en el sistema de archivos. Estos archivos son depósitos web que contienen código que permite a un atacante ejecutar comandos del sistema operativo en el servidor de Openx. Mi problema es que no tengo idea de cómo se infecta el caché. Ignoro cómo se crean nuevos archivos en el caché y cómo un atacante puede controlar su contenido. ¿Alguien está familiarizado con esta situación o puede apuntar en la dirección correcta?
En última instancia, tengo la intención de actualizar mi versión de Openx, pero como parte de mi análisis forense, es importante para mí entender cuál era el modus operandi del atacante.