Amigo Iroc me pasó lo mismo que a vos, escribí todo y al pulsar Publicar, se borró todo, deben arreglar eso....
Vuelvo otra vez a escribir lo mismo......
No se olviden que cada post que hagan, abran un Bloc de notas y ANTES de publicar COPIEN todo el contenido de la caja de edicón y pegen ese contenido en el bloc de notas, ya que si les pasa lo que me acaba de pasar a mí a y muchos, van a tener que escribir todo de nuevo... encima este foro no usa caché.
Bueno, lo que había escrito es que estube chequeando los archivos iframes en javascript que son los maliciosos, los enlaces de los mismos los saqué de las webs que dejó el amigo Iroc.
He estado comprobando con un script en Python los enlaces maliciosos, todos los enlaces devuelven un error 301, o sea Moved permanently/Movido permanente, es decir que al intentar entrar en ellos, me redirigen a otra web, o sea a esta:
/wp-content/themes/twentyfourteen/yzhy9b7w.php?id=34992
que también me devuelve el código de estado 404 (Not found), por lo tanto no existe....
Aunque si hechamos 1 ojo a este archivo:
yzhy9b7w.php
eso si es muy sospechoso, ya que el archivo tiene un nombre bastante raro y sin sentido, letras aleatorias y 2 numeros, he intentado entrar en él, pero no existe.
Lo más probable es que sean archivos temporales, a modo de comentario, yo mirando varias veces el Log de apache de mi foro, he encontrado varias peticiones maliciosas que intentaban realizar un tipo de ataque para bajar algo de una URL, ejecutarlo en mi VPS y luego borrarlo para no dejar rastros, estos archivos eran en Perl, Python y Bash, al ver eso he intentado entrar en esas direcciones, que solamente era una IP con un puerto extraño, pero el archivo ya no existía, simplemente porque son temporales, lo usan para fines malos y luego lo borran.
Lo bueno de hacer las pruebas con estos scripts en Python (en mi caso) o en otro lenguaje, es que lo vas a hacer de una forma totalmente segura, ya que en esos scripts/programas no existe Java, ni Flash, ni jQuery, ni Javascript, etc., simplemente estos programas reciben los datos tál como los reciben nuestros navegadores, a diferencia que no van a ejecutar ningún código, y los datos HTML o javascript o lo que sea, se pueden guardar en archivos en formato .txt por ejemplo, de esa forma, se puede trabajar totalmente seguro, además se puede configurar todo, como el User-Agent y muchos otros datos más.
Conclusión, los archivos que supuestamente están infectados solo devuelven errores 301 y 404 (solo probé con varios, no todos), pero como dije, puede que esos archivos sean temporales, al ingresar a la web, se crean y luego se borran al pasar cierto tiempo, hay muchas cosas que son automáticas.
Saludos!!!!