old.kaloyan.info

Днес намерих един файл в инсталацията на Asido който не съм го качвал аз. Станало е на 11 май – докато сме празнували именния ден на баща ми, някакав безпишковец решил да разгледа какво има качено на http://asido.info … Не че има кой-знай какво интересно там – ако им харесва темата, да ми се обадят и ще им я дам :) Както и да е, не знам кой е по-големия малоумник – аз, пишман хакерчето, или тези от WordPress … колкото и да ми обесняват че проблема не е от тях, няма как да има друго обеснение за качването на файла освен проблем в самия WordPress – на сайта няма нищо друго качено освен него.

Така, за сега навсякъде където има WordPress в wp-content/plugins/ папките сложих Deny from all (както може би трябваше да си е от начало). Потърсих кой ко е правил интересен скрипт и там открих „руската“ връзка. Видях че имат нова версия на същата боза, която за обфускирали със Zend Encoder. Тази която намерих при мен беше с някаква балъшка base64 „маскировка“. На който му е интересно може да намери оригинала тук (http://pastebin.ca/554887), а де-обфускираната версия маже да намери тук (http://pastebin.ca/554891)