Poszukiwania mobi-auto.ru

mobi-auto.ruOstatnio natrafiłem na bardzo uparty przypadek wstrzyknięcia kodu. Działający kod przekierowywał ofiary wybraną witrynę. Oczywiście wynikowego kodu, próżno szukać w źródłach strony czy wpisach w bazie danych. Zainfekowany kod nie był również dołączony w postaci nowego pliku. Nie było śladów modyfikacji istniejących plików, gdyż daty plików były zachowane względem pozostałych plików z folderów. Wynikiem działania wstrzykniętego kodu było to:

Kod ten przenosi wszystkich odwiedzających z urządzeń mobilnych na stronę mobi-auto.ru

 

Wstrzyknięty kod, był bardzo sprytnie ukryty, wśród plików systemowych wordpress, udając jedną z funkcji systemu. Nazwa funkcji była odpowiednio dobrana do pliku jej umieszczenia, więc podczas ręcznego przeglądania nie wyróżniałą się zbyt mocno.

Finalnie kod został zlokalizowany i usunięty z systemu.