// TeknoCore Guardian Hook - Otomatik eklendi
Hace poco estuve ayudando en un problema de seguridad de una página web. La habían infestado con un virus encubierto en base64 que básicamente modificó el archivo wp-config.php, creaba usuario admin automáticamente si se borraba el creado y se replicaba a sí mismo en distintos archivos si se conseguía borrar el archivo principal. El archivo principal se creaba en una carpeta llamada "mu-plugins" y tenía el nombre de "teknocore.php". En un inicio no entendía qué pasaba, ya que por mucho que borrase, siempre volvía a aparecer (tanto el usuario admin, como el plugin) hasta que encontré en el archivo de wp-config.php el comando que indicaba que si se borraba el archivo, se volviese a crear. Dicho comando tenía un comentario en el que ponía "// TeknoCore Guardian Hook - Otomatik eklendi" y he buscado en Google todas las palabras y lo único que he encontrado es que "Otomatik eklendi" significa "agregar automáticamente" en turco.
Ya imaginaba que el atacante sería turco, ya que cuando buscaba en google la página, aparecían muchas páginas de un casino turco, pero no he encontrado nada relacionado con el "TeknoCore Guardian Hook".
Buscando en Google "teknocore.php" me encuentro con muchas webs de distintas temáticas, que entiendo que también están infectadas, pero nada relacionado con el black hat, ¿alguien se ha encontrado con esto?