l’indagine parte notando, in footer.php, un pezzo di codice che recita base64_decode(stringaccia)
esplodendo tale comando, avendo cura di metterlo sempre in echo ed evitare di fare eseguire le eval, si arriva per giri successivi…
… dopo aver sostituito i nomi di costanti e variabili impossibili con nomi più corti …
di fatto sto codice non fa altro che aprire un socket, ottenere i link html da spammare, iniettarli nella pagina
è bene dunque controllare sempre da dove si scarichino i temi e possibilmente cosa ci sia scritto dentro (mi autocazzio per non averlo fatto)
