BlueHost, el malware y su SiteLock

Hola, llevo varios años usando BlueHost sin problemas, han ido subiendo el precio poco a poco, sobretodo el último año, pero valía la pena, ya que he tenido webs con mucho tráfico y nunca he tenido ningún problema, y al tener CPanel y todo ilimitado da mucha libertad a la hora de administrar el hosting.

Hasta hace unos días, de repente me suspenden la cuenta por que dicen que hay malware en mis webs, curiosamente me encuentro que TODAS mis páginas tienen malware (tenía unas 20 webs en multidominio), la mayoría son Wordpress, algún Prestashop y algún SMF... pues bien, todas con inyección de código, archivos nuevos en el FTP con malware, usuarios nuevos administradores en los Wordpress...

Los de Dreamhost lo primero que me dicen es que me venden el servicio de SiteLock para que mi cuenta quede limpia y protegida a lo cual me niego y me generan un archivo con la lista de los archivos infectados... después de mucho trabajo consigo limpiarlo todo, y me vuelven a activar la cuenta.

La cosa es que durante los siguientes días el malware vuelve, me vuelven a suspender la cuenta, me la vuelven a activar, así varias veces... lo curioso es que el malware se propaga por toda mi cuenta, se pasa de un dominio a otro e incluso me aparecieron cuentas de FTP nuevas de la nada y eso que he cambiado todas mis claves varias veces... la cuestión es que he ido pasando esas webs a otros servidores que tengo y en ellos no ha ocurrido nada...

En Dreamhost actualmente solo tengo 3 webs, todas actualizadas y 100% limpias e igualmente me aparece malware de vez en cuando... algo me hace pensar que es el propio servidor el que está infectado o tiene algún fallo de seguridad... o pensando mal serían los mismo de Dreamhost que me infectan las webs para que compre su servicio de Sitelock.

Revisando los logs del servidor he podido ver quien accedía desde esas cuentas nuevas de FTP y la IP que me aparece pertenece a AMAZON... además en todas las webs estoy recibiendo constantemente peticiones a archivos que no existen (error 404), como si intentara ejecutar malware ya que son a archivos tipo dump.php stats46.php y esas peticiones vienen de solo 4 o 5 IPs diferentes, la mayoría de Ukrania y Alemania, las cuales baneo, pero van cambiando cada día.

A alguien le ha pasado algo similar?

 

Estás utilizando encriptación para acceder a ftp y cPanel? la causa podría estar en tu propia PC, si parece increible creerlo pero si no usas ftp seguro es muy fácil para un atacante robar tu contraseña directamente de tu pc/cliente ftp

Lo primero que haría usar una PC limpia para ingresar y cambiar todos los passwords nuevamente y asegurarte de que uses únicamente accesos sobre TLS/SLS
La totalidad de los ataques de inyección de código son debido a vulnerabilidades en cms, mala programación o robo de passwords

 

Hola!!
Tengo la misma duda, buscando en google di con este post y tengo la misma idea de que algo anda mal con SiteLock. A nosotros nos bloquearon una cuenta de Adwords porque Google encontro virus en nuestro sitio y por sus normas no pueden promocionar sitios web con virus y demás cosas, nos mandaron una lista increíble de archivos que según ellos contienen malware, me contacte con el soporte del hosting, que en mi caso es Hostgator y también nos mandaron con SiteLock, yo después de ver los costos de los planes que ofrecen ellos (que son muy altos costos) me decidí a investigar por mi cuenta y me vengo enterando que ellos tienen un usuario FTP en mi servidor el cual yo NUNCA AUTORICE, tengo unas 4 semanas con la situación pero sólo 1 investigando por mi cuenta, por el momento seguiré sólo yo e internet.

Saludos.