Últimamente estan siendo atacados web con el CMS de Magento instalado debido al malware Guruincsite.

Google ya ha puesto en su lista negra a más de 7.000 sitios infectados con este parece ser popular malware. Este ataque es producido por script maliciosos que crean iframes a partir de “guruincsite.com”.

Hay dos modificaciones. Su primer script no está ofuscado:

Malware Guruincsite

y el segundo que si está ofuscado:

Malware Guruincsite

Los scripts ofuscados han inyectado el iframe “hxxp://guruincsite.com/2.php“.

A menudo, el malware se inyecta en design/footer/absolute_footer de la tabla core_config_data, pero hay que verificar toda la base de datos del código, buscando a cosas como “function LCWEHH(XHFER1){XHFER1=XHFER1” y el nombre de dominio “guruincsite“.

Nuestra recomendación es que actualicen todos los parches de seguridad de magento lo antes posible

Fuente: https://blog.sucuri.net