해킹건이 있어 글 올립니다. 정보
해킹건이 있어 글 올립니다.본문
tb_token.php 파일과 동일한 내용에 아래 몇가지가 추가되어서 mb_token.php 파일이 생성되어 있어 이게 뭔가보니
echo $token1;
echo $token2;
두가지가 다르더군요
무심코 넘어가기 쉽게 파일이름이나 내용이나 교묘해 보고도 몰랐어요 ㅠ.ㅠ
또다른 위변조 파일이 있나 찾아보니 이거뿐이라 일단 글 올려봅니다.
쉘스크립트이면 아파치에 기록이 남는데 그것도 없는걸 보니 웹페이지를 통한 접근 같은데 이런 개구멍을 만들다니
이걸로 어떻게 데이타폴더에 파일을 심고 그 파일로 디비 mb_id 값을 모두 변형시켜버렸습니다.
참고로 제 아는 친구는 게시판이 초토화되었습니다.
제가 궁금한 건 이걸로 어떻게 데이타폴더/세션폴더에 파일을 심을 수 있는지
그 파일로 디비를 컨트롤해 base64 인코드를 한 건지 그걸 알수가 없네요 ㅠ.ㅠ
3일동안 이거 때문에 골아파 죽갔네요 혹 이와 비슷한 사례가 있으신지요
어찌 처리를 하셨는지 궁금하네요
참고로 데이타폴더에 생성된 파일은 에니XX사이트 이름입니다
<?
include_once("./_common.php");
// 토큰 생성
// 오류는 write_log() 로 잡는다.
include_once("$g4[path]/lib/etc.lib.php");
//write_log("$g4[path]/lib/log/aaa", 1);
if (isset($g4['token_time']) == false)
$g4['token_time'] = 3;
$sql = " delete from $g4[token_table]
where to_datetime < '".date("Y-m-d", $g4[server_time] - 86400 * $g4['token_time'])."' ";
sql_query($sql);
$sql = " select count(*) as cnt from $g4[token_table]
where to_ip = '$_SERVER[REMOTE_ADDR]' ";
$row = sql_fetch($sql);
if ($row[cnt] >= 100)
return;
$i=0;
while(1) {
$token = md5(uniqid(rand(), true));
$sql = " insert into g4_token
set to_token = '$token',
to_datetime = '{$g4['time_ymdhis']}',
to_ip = '$_SERVER[REMOTE_ADDR]' ";
$result = sql_query($sql, FALSE);
if ($result)
break;
// 무한루프방지
if ($i++ >= 10)
break;
}
echo $token;
echo $token1;
echo $token2;
?>
0
댓글 6개
그누보드 구조를 모르니 알 수가 없... ㅠ;
그래도 쉘이라 알수있어 그나마 나에 비해서 다행 이렇게 생각했어요
최신으로 패치를 다 했는데도 전 그래서 더 답답 ㅠ.ㅠ
전 오늘 오후 1시에도 발생했어요 3일동안 하루 두번씩 ㅠ.ㅠ
진짜 머리아프네요 능력부족 ㅠ.ㅠ
저도 예전에 비슷한 경험이 있습니다.
자고 일어나면 DB를 밀어버림 -> 복구해놓음 -> 또 밀어버림...
이걸 1주일동안 당했습니다.
그때 그 해커의 목적은 ? -> 단순히 영업방해....
저도 ㅠ.ㅠ 거의 영업정지 사업그로기상태
삼일동안 금전적피해도 몇천되지만 무엇보다 회원들 항의와 방문감소 나쁜소문 등
2차피해가 너무 크네요