스팸링크 스크립트 공격 2차증상 재발 - 증상 확인및 조치 정보
스팸링크 스크립트 공격 2차증상 재발 - 증상 확인및 조치
본문
http://sir.kr/cm_free/1367683?cpage=1#c_1367788
위 글로 도움이 필요해 글을 쓴적이 있었습니다.
재발을 했습니다 ㅠ.ㅠ
이번에는 4989.in으로 링크가 걸리더군요 ;;
재발한 것으로 미루어 심어진 코드가 계정마다 존재한다는 확신에 어제 점검을 시행했습니다.
그 결과 일전에 보였던 증상은 모두 훼이크였습니다.
그 증상들은 결과물일 뿐 결과물을 뽑아내는 파일은 따로 심겨져 있었다는 거죠.
find /home -name "*.php.x"
find /home -name "*.phtml"
등으로 검색 했을때 발견되는 파일이 있었습니다.
이미지인척 이미지 폴더들 사이에 섟여 있더라구요.
파일의 위치가 다르고 솔루션이 그누4, 그누5, 킴스큐 등 모두 포함된 6개의 계정에서 발생 했습니다.
관리자나 회원 로그인 기록에 파일 업로드 흔적이 없었습니다.
리눅스 서버 내 관리자 권한으로 해당 폴더등에 접근 혹은 파일을 생성한 로그가 없었습니다.
웹로그 중에 해당 파일이 만들어진 날짜에 비정상적인 접근 URL이 존재하지 않았습니다.
허나 파일의 소유자가 모두 아파치로 확인되어 웹에서 업로드 된것은 확실하다 생각 합니다.
폴더는 파일 업로드 용으로 권한이 707이였던 폴더들로 취약점을 특정지을 순 없었습니다.
그외 발견된 특징으로는 public_html 폴더의 권한이 707이였던 폴더에서만 발견되었습니다.
왜 이게 707인지는 아직 모르겠습니다.
이렇게 권한을 주었다면 그거 저 아니에요 -_-;
일단 모두 701로 변경 하였습니다.
발견된 find /home -name "*.php.x", find /home -name "*.phtml" 파일을 모두 삭제 하였습니다.
더이상 발견되는 특징이 없는걸 보니 또 재발하진 않을 것 같습니다.
헌데 아직 어떤 취약점으로 파일을 업로드 했는지를 모르겠습니다.
어떤 녀석은 팝업이미지 폴더에 어떤 녀석은 그냥 디자인용 이미지 폴더...
일단 image 라는 폴더명을 기준으로 접근한 것은 맞는데 업로드한 흔적은 못찾고 있습니다.
이건 저번과 또 똑같은 고민을 하나 남기고 가는군요.
이상입니다.
추천
0
0
댓글 4개
내용이 너무 어려운지 댓글 달 엄두를 못내시는 듯,,ㅋ
무식하면 용감하다그,,~..저는...
무식하면 용감하다그,,~..저는...
이미지 폴더에 파일들이 존재하고 apache 가 소유자로 되어 있다면 업로드가 확실한 거 같은데 아마도 에디터에서 오지 않았을까 싶네요. 최근 smarteditor2에서 보안문제가 있었는데 업데이트는 했는지요? 혹 웹쉘이 있을 수 있다는 가정도 해봅니다. 그리고 문제가 되는 파일을 무조건 삭제가 아니라 소스를 보는 것도 필요하지 않을까요? 그래야 어떤 일을 하고 있었는지 추측이 됩니다. 무조건 삭제했다면 안타깝다라고 밖에 말할 수 없겠네요.
아니에요 민쯩님ㅋㅋㅋ 공격이 흔한게 아니라서 따로 서버관리하는 분들아니면 잘 못만나는 일이라 그래요 ㅋ
letsgolee님 해당 파일은 어떤 인코딩이든 깨지더라구요 ㅠㅠ
그안에 특정 지시코드를 찾는데는 실패했습니다.
그안에 특정 지시코드를 찾는데는 실패했습니다.