Esaminando un particolare js e cercando informazioni su Google ho notato che diversi siti, molti dei quali basati su cms aggiornati all’ultima versione, sono stati recentemente violati e compromessi con questo codice javascript offuscato.
L’inclusione di un iframe di dimensioni 1,1 che punta a un dominio poco affidabile per far veicolare software dannoso non è una novità. Ad incuriosirmi infatti non è stata la struttura del codice (per niente complessa e risolvibile in due mosse) ma la presenza della stringa commentata in fondo allo script: <–! uy7gdr5kmn –>
Potremmo formulare numerose ipotesi per cercare di comprenderne il senso ma non essendo in grado di spiegare con certezza assoluta la presenza della stringa, per il momento resta (almeno per me) un mistero.
Due cose sono certe:
- Non è una chiave utile per decifrare il codice.
- Non è un caso che quella stringa accompagni lo script.
La butto lì….e se fosse una stringa “firma” messa lì al fine di monitorare quanti e quali siti sono infetti con quello script? Basta inseriral su Google e ti tira fuori tutte le pagine che la contengono
Ok Nanni, potrebbe trattarsi di una banale firma aggiunta dal tool usato per offuscare il codice. Possiamo “buttare lì” svariate ipotesi e stare a discutere a lungo sull’argomento ma finchè non si hanno elementi chiari in mano restano solo belle chiacchiere
bè non volevo discutere…la mia era solo un’idea percorribile, considerando che la stringa è in un commento e che potrebbe essere usata come marker…niente di definitivo solo un’idea
bye
Vi racconto la mai storia? Beh, si.
Sono un blogger e come qualsiasi altro blogger, pur non avendo un blog che punta al guadagno, monitorizzo anch’io le visite. L’altro ieri, ho notato una visita strana o meglio, un referral da una pagina strana:
(Link rimosso dall’autore del blog)
Aperta la pagina mi sono trovato d’avanti agli occhi una cosa alquanto incredibile; Il MIO pannello di controllo del MIO blog ovviamente non funzionale e, in basso a destra, una pubblicità cinese.
Mi sono informato sui fatti e sono arrivato anch’io al sito poco consigliato ( Besloqawe.com ).
Ho decodificato anch’io come hai fatto tu ma, non sono ancora riuscito a capire COME rimuoverlo (mi da alquanto fastidio)!
Qualcuno mi può dare qualche indicazione?
Rispondete in tanti, grazie!
-MySelf_v1
Ottimo, se riesci a fare una copia del blog e a farmela avere te ne sarei veramente grato. Ovviamente te lo restituisco pulito
La mia mail qui.