Бэкдор оформлен в виде блока с php-кодом, добавленным в один из JavaScript-файлов и закамуфлированный под обращение к jQuery. Для проверки наличия бэкдора достаточно выявить файлы с расширением ".js", содержащие код на языке PHP:

find . -name \*.js -exec grep -l '<?php' {} \;

После активации бэкдора злоумышленниками в систему дополнительно устанавливается файл www/images/debugs.php, содержащий web-shell.

Дополнение: Разработчики OpenX опубликовали отчёт об инциденте, в котором подтверждён факт внесения модификаций в архив openx-2.8.10.zip, позволяющих выполнить произвольный PHP-код в системе. Троянские изменения были внесены в файлы plugins/deliveryLog/vastServeVideoPlayer/flowplayer/3.1.1/flowplayer-3.1.1.min.js, plugins/deliveryLog/vastServeVideoPlayer/player.delivery.php и lib/max/Delivery/common.php.

Для проникновения в систему использовался запрос "fc.php?script=deliveryLog:vastServeVideoPlayer:player&file_to_serve=flowplayer/3.1.1/flowplayer-3.1.1.min.js", наличие следов которого в логе http-сервера говорит об успешном проникновении злоумышленников. Всем пользователям рекомендуется обновить OpenX до версии 2.8.11. О том каким образом злоумышленникам удалось интегрировать свой код в архив ничего не сообщается. Также не известно пострадала ли инфраструктура проекта.

Источник: http://www.opennet.ru/opennews/art.shtml?num=37613