Tenemos algunos sitios que alojan en un servidor compartido de Media Temple (MT). Esta mañana, notamos que algunos de nuestros sitios web estaban caídos. Tras la investigación, nos dimos cuenta de que habían sido comprometidos. La estructura del directorio para MT es la siguiente: dominios > DOMAIN-NAME > html (también conocido como raíz del sitio web).
En el nivel de DOMINIO-NOMBRE, notamos un archivo llamado Meuhy.php . El soporte de MT dijo que parecía una especie de administrador de paquetes malicioso. Hice una búsqueda en Google para ese archivo, pero no encontré nada que ayudara a identificar su fuente. Sin embargo, noté que se había inyectado en otros sitios web: enlace
En la raíz web, encontramos que el código de WordPress se había inyectado en los archivos index.php , sin embargo, todos nuestros sitios, excepto uno, son sitios de Drupal. También descubrimos que se generaron una serie de archivos .xml. Contenían lo que parecía ser una serie de llamadas de servidor. Comprobamos el uso de la GPU y notamos que se disparó en torno a que se generaron estos archivos. Nuestro Google Analytics también muestra que el tráfico se disparó de forma anormal durante este tiempo.
Mi pregunta principal es, ¿alguien sabe qué tipo de ataque es este, y debemos preocuparnos de que nuestras bases de datos puedan verse comprometidas?