Bułgarskie skrypty wstrzykiwane na stronie Kancelarii Prezydenta RP

dodał 15 marca 2018 o 19:13 w kategorii Wpadki  z tagami:
Bułgarskie skrypty wstrzykiwane na stronie Kancelarii Prezydenta RP

Są takie miejsca w internecie, gdzie raczej spodziewamy się, że ktoś dba o ich bezpieczeństwo bardziej. Tym większe nasze zdziwienie budzą takie znaleziska jak to, na które przez przypadek natrafił nasz Czytelnik.

Jeden z naszych Czytelników podesłał nam dość niecodzienne odkrycie. Jak sam pisze, brał niedawno udział w uroczystości w Pałacu Prezydenckim. Na takich imprezach z reguły spotkać można oficjalnego fotografa. Gdy uczestników jest wielu, trudno wszystkim potem wysyłać zdjęcia z imprezy. Wymyślono zatem prostą metodę ich dystrybucji – fotografie umieszczane są na serwerze Kancelarii Prezydenta Rzeczypospolitej Polskiej a uczestnicy otrzymują wizytówki z adresem witryny, gdzie wkrótce będą mogli pobrać zdjęcia. Okazuje się jednak, że nie tylko zdjęcia mogli stamtąd pobrać…

Strona – widmo

Link, który otrzymał nasz Czytelnik, wygląda następująco:

http://foto.kprp.pl/do_pobrania/20180314_PAD_nominacje_profesorskie/

Nie zalecamy jego odwiedzania, ponieważ mogą się tam dziać rzeczy poza nasza kontrolą. Sama strona kprp.pl nie prezentuje się zbyt okazale. Wręcz nie prezentuje się wcale. Są za to podstrony takie jak http://www.co.kprp.pl/ (Centrum Obsługi Kancelarii Prezydenta Rzeczypospolitej Polskiej) czy http://www.belweder-klonowa.kprp.pl (Zespół Rezydencji Belweder Klonowa). Po co Kancelarii Prezydenta osobna domena? Nas o to nie pytajcie… Jest także aktywna subdomena „foto”, gdzie umieszczane są kolekcje fotografii z różnych wydarzeń. Co znajduje się na stronie zanim trafią tam zdjęcia?

Co jednak kryje się w kodzie tej witryny? Okazuje się, że znajdziemy tam odwołanie do dziwnego skryptu serwowanego ze strony bułgarskiej firmy z branży motoryzacyjnej.

http://autokorea.eu/wp-content/themes/boot-store/7th9pqdh.php?id=13204284

Niestety (lub na szczęście) wygląda na to, że docelowy skrypt został już usunięty, więc nie sposób ustalić, jakie jest jego zadanie. Nie udało nam się także ustalić, co mógł robić i z jakim złośliwym działaniem był powiązany – jesteśmy jednak prawie pewni, że nie robił niczego dobrego.

Sprawę oczywiście zgłosiliśmy gdzie trzeba z nadzieją, że ktoś skrypt usunie i przeanalizuje ciąg wydarzeń, który doprowadził do jego umieszczenia na stronie Kancelarii Prezydenta.