Pasticcera Posted December 29, 2020 Report Share Posted December 29, 2020 Un virus pentru wordpress. Mai pe scurt am creat pe digitalocean un vps wordpress cu autoinstalul lor si nu am schimbat nici o parola pentru ca nu lam folosit si astazi mam trezit cu asta. Creaza multe pagini fake cu redirect. Poate cineva vrea sa vada cum functioneaza https://anonymousfiles.io/J9pL5j7H/ https://prnt.sc/wcdot4 Quote Link to comment Share on other sites More sharing options...
Moderators Dragos Posted December 29, 2020 Moderators Report Share Posted December 29, 2020 Nu stiu daca a fost raportat deja atacul, scriptul pare a fi din perioada 2016-2018, dar, din ce m-am uitat peste el, face request-uri cu user agent de IE 7 pe Windows 7 si asteapta comenzi de la urmatoarele C&C: giftmall.xyz plfongoods.xyz jormedmall.xyz dsnycesale.xyz oedipegoods.xyz Domeniile sunt cu nameservere de Alibaba dar puncteaza catre IP-uri de Linode. Toate domeniile sunt inregistrate cu nume de americani (se vad pe whois). Site-urile, daca le accesezi, afiseaza o pagina de login in chineza. Chestia asta plus faptul ca o parte din script e in chineza ma fac sa ma gandesc ca atacul e din China. Am gasit in cache-ul de Google alte C&C-uri cautand dupa "define("GETDOM",getthisdom());": taxcupdigital.xyz wydingtrans.xyz satpoaweb.xyz recaeldata.xyz crsrefcenter.xyz vipeeshost.xyz webintsoure.xyz lokvaldigital.xyz hnosostrans.xyz hozemoweb.xyz datascenter.pw japandata.pw digitalja.pw datatrans.pw digitalnetwork.pw eatmhgdata.xyz tqmgrpcenter.xyz avordesoure.xyz gulbendigital.xyz tignoltrans.xyz 1 2 Quote Link to comment Share on other sites More sharing options...
