Hace dos días comenzaron a aparecer informes en Internet que sugirien que un nuevo hack masivo estaba en marcha. En un principio se penso que el hack sólo estaba atacando blogs de Wordpress, pero pronto se supo que otros scripts también se vieron afectados.El común denominador de este ataque fue que todos los sitios web afectados fueron alojados en los denominados servidores compartidos. Estos servidores albergan múltiples sitios web de distintos usuarios. Las empresas de alojamiento web a los que afecta son Go Daddy, Bluehost, Media Temple, DreamHost y Network Solutions. Es probable que otras se vean afectadas también.
No está claro todavía cómo se llevó a cabo el ataque. sugerencias actual son las contraseñas débiles o archivo de los derechos de acceso que permiten al atacante obtener el acceso.
El blog Securi Security reporto:
Estamos viendo múltiples informes de los sitios de Wordpress (que ejecuta su última versión) siendo comprometidos. Los informes iniciales de hoy se limita sólo a Dreamhost, pero ahora estamos viendo el mismo patrón en los blogs alojados en GoDaddy, Bluehost, Media Temple y otros lugares.
¿Cómo sabes si su sitio web se ve afectado?
Todos los sitios contaban con esta Javascript añadido a sus páginas:
http://www.indesignstudioinfo.com/ls.php
http://zettapetta.com/js.php
El cual vino de una larga cadena codificada en base64 añadido a su archivo footer.php (o en todos los archivos PHP en algunos casos).
El sitio web WP Security Lock también publico instrucciones para la detección:
He aquí algunos de los comportamientos Zettapetta:
Your website is redirected to:http://www1.firesavez5.com/?p=p52dcWpkbmmHjsbIo216h3de0KCf…….. or
http://www1.firesavez6.com/?p=p52dcWpkbG6HjsbIo…
Esta redirección es una página en blanco. El código fuente contiene lo siguiente:
404 Not Found
The page that you have requested could not be found.
All of your .php files on your Wordpress contain the following malicious code… Located in the source code near the bottom of all .php files is the following script: and
Advertencia: No intentes abrir tu sitio web a menos que tengas un anti-virus actualizado, tu equipo este libre de virus y te encuentres en una red segura!
Rho5223 
