これは可変注入試行ですか？

Question

私は自分のサーバーに向かうSourcefireによって捕獲された悪質なパケットを監視しました。

パケットテキスト：

.PV..4. 
I.....E....I@.....BF.. 
...s.P......rTP.F..l..lytics.com/analytics.js','ga'); 

    ga('create', 'UA-86400685-1', 'auto'); 
    ga('send', 'pageview'); 

</script> 
     <script type="text/javascript"> 
      var MTUserId='8a71716c-e741-4c82-a6df-f0074c7c3472'; 
      var MTFontIds = new Array(); 

      MTFontIds.push("1075556"); // Avenir.. Next W01 Rounded Regular 
      MTFontIds.push("1075562"); // Avenir.. Next W01 Rounded Medium 
      (function() { 
       var mtTracking = document.createElement('script'); 
       mtTracking.type='text/javascript'; 
       mtTracking.async='true'; 
       mtTracking.src='mtiFontTrackingCode.js'; 

       (document.getElementsByTagName('head')[0]||document.getElementsByTagName('body')[0]).appendChild(mtTracking); 
      })(); 

      eval(function (p, a, c, k, e, d) { e = function (c) { return c.toString(36) }; if (!''.replace(/^/, String)) { while (c--) { d[c.toString(a)] = k[c] || c.toString(a) } k = [function (e) { return d[e] }]; e = function() { return '\\w+' }; c = 1 }; while (c--) { if (k[c]) { p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]) } } return p }('4 8=9.f;4 6=9.k.m(",");4 2=3.j(\'l\');2.h=\'g/5\';2.d=\'b\';2.e=(\'7:\'==3.i.s?\'7:\':\'u:\')+\'//v.n.w/x/1.5?t=5&c=\'+8+\'&o=\'+6;(3.a(\'p\')[0]||3.a(\'q\')[0]).r(2);', 34, 34, '||mtTracking|document|var|css|pf|https|userId|window|getElementsByTagName|stylesheet||rel|href|MTUserId 

が、これはbashのCGI環境変数インジェクションの試みと考えられますか？ 誰かがこの攻撃とこのコードの解剖学的構造を説明できますか？

ありがとうございます。 G

Answer 1

最後に、online javascript unpackerを使って最後の行を解凍し、簡単なトラッカーコードを見つけることができます。私はプライバシー侵略を「良性」と呼ぶつもりはないが、これは注射のようには見えない。

var userId=window.MTUserId; 
var pf=window.k.m(","); 
var mtTracking=document.j('l'); 
mtTracking.h='g/css'; 
mtTracking.rel='stylesheet'; 
mtTracking.href=('https:'==document.i.s?'https:':'u:')+'//v.n.w/x/1.css?t=css&c='+userId+'&o='+pf; 
(document.getElementsByTagName('p')[0]||document.getElementsByTagName('q')[0]).r(mtTracking);