Проанализировать сетевой трафик(сайт wordpress)

Цена договорная
20 июня 2024, 03:21 • 8 откликов • 85 просмотров
В дампе есть пакет 339248, где происходит запрос POST к admin-ajax.php. До этого злоумышленник пытался перебрать пароль ssh брутфорсом, но у него это не вышло. После GET запроса к wp-admin-support.php(339538 пакет) происходят непонятные запросы POST после которых злоумышленнику удается подключиться к ssh на порте 60650.

Заранее известно, что брутфорсом узнать пароль не получилось.

Определить и объяснить каким образом злоумышленник получил пароль от ssh и как получил файлы pass.zip и people.txt.gpg. (Я так понимаю, что это уязвимость в коде js, но как она набирает обороты в реализации не понял)

Сам дамп: https://drive.google.com/file/d/1Ftg_tbbxFOa6mWa9E...