Edit History

Hola,

Por fin encontré el archivo que estaba generando todo.

Es un archivo que se llama bnzpsmyf.php (aunque el nombre está generado con la siguiente función) 

substr(md5(time()), 0, 8) . ".php";

No se mucho de php pero más o menos por lo que he visto, hace lo siguiente.

Recoge los datos por post.

También hace datos ilegibles en otros ficheros que crea aleatoriamente por las carpetas de la web con la misma función de arriba, que mueve los caracteres 13 posiciones y codifica las url. Después las recupera con esta función:

str_split(rawurldecode(str_rot13($rewvey)));

Lo que no he podido ver/entender todavía, es como modifica los ficheros index.php y como crea el fichero oculto ????????.ico que es el verdadero virus (eso creo).

Desde que lo quité y borré los archivos creados por este fichero, no ha vuelto a suceder el ataque (toco madera). 

No sé como ha podido llegar esto hasta el servidor. Si volviera a ocurrir, ya tengo un punto de partida para investigarlo y después publicarlo.

No sé cómo se modifica el título del post para cambiarlo a solucionado, si alguien me lo puede indicar, se agradece.

Gracias a todos y en especial a gusman126 por intentar ayudarme.

Saludos.