나에게 두번째 일어난 엄청난 사건...ㅠㅠ 정보
나에게 두번째 일어난 엄청난 사건...ㅠㅠ
본문
얼마전에 data 폴더에 php 파일을 업로드되어 아파치 설정으로 data 폴더 및 서브폴더에서 php 실행을 막았다고 글을 올린적이 있는데요.
그러고는 해당 서버는 문제가 없이 무사히 돌아가고 있습니다.
그런데 오늘 또다른 서버에 dbconfig.php 파일 변조 공격이 감행되었네요.
궁금해서 인터넷에 찾아보니 아래 사이트도 똑 같은 공격을 받은듯 하네요.
ssh 공격이나 ftp 공격이라면 모든 계정에 변조 파일을 올렸을것인데...
유독 그누보드로 제작된 사이트만 공격 받았다는 것입니다.
그누보드4 그누보드5 둘다 말이죠.
호스팅 업체에 유료 분석을 의뢰해둔 상태인데 계정 탈취는 아닌것 같다고 합니다.
그나마 다행이고 해당 서버도 저번처럼 data 폴더에 있는 dbconfig.php 파일을 루트로 옮기고
실행금지를 시키는 작업을 했습니다. 물론 ftp 계정 암호도 모조리 변경했구요.
아~ 한번씩 이런일이 일어나니 정신이 혼비백산하는 기분이네요.
평소에 너무 소홀했던 나 자신을 많이 질책했습니다.
여러분들도 평소에 패치 열심히 하시고 나름 보안에 신경쓰시기 바랍니다.
날이 밝아 오려는데 뭐하는짓인지....ㅠㅠ
이제 정리하고 자러가야겠습니다. 이유라도 확실하게 알았으면 좋으련만...ㅠㅠ....
즐거운 휴일되세요.
추천
0
0
댓글 12개
보안문제 생기면 서버회사에 유료의뢰하는게 젤 나은듯
보안은 정말 중요하다고 생각합니다. 해커들의 능력도 대단하네요..
어딘가에 실행권한을 가진 웹쉘이 존재하는게 아닐까.. 조심스레 생각 해 봅니다.
남의 일 같지 않네요.
창과 방패의 싸움은 끝이 없는 것 같습니다.
창과 방패의 싸움은 끝이 없는 것 같습니다.
웹쉘이 존재한는 듯.
방지 및 대응 솔루션이 있지만, 개인이 구매하기는 비싸죠.
방지 및 대응 솔루션이 있지만, 개인이 구매하기는 비싸죠.
유료분석의 결과가 궁금하네요..
유료분석 의뢰한것이 효과가 없네요.
제가 분석하고 알려주고 뭔짓인지 모르겠습니다.
적어도 변조된 파일이 있으면 그 시간 전후 생성된 파일 목록은 찾아봐야하는거 기본아닌지요.
제가 목록 뽑아서 일일이 분석하고 아이피 차단 요청하고 어제 저녁부터 지금까지 노과다 하고 있습니다.
뭐든지 자기가 공부하고 머리에 집어넣는게 최고인듯 합니다.
나름 전문가라고 인정하고 유료 서비스를 부탁했더니 끝장내지도 않고 일요일이라 퇴근했답니다.
조치1. 공격아이피가 외놈이라 해외 아이피 전부 차단했습니다. 이제 절대 안열어 줍니다.
조치2. 위지윅 에디터(cheditor?) 모조리 없애고 텍스트 편집기로 설정중입니다. 패치도 홈페이지 한두개 관리할때 말이지 지금은 너무 힘듭니다. 네이버 편집기로 변경할까 고민중입니다. 아니면 텍스트로 밀고 가야겠습니다. 가장 취약한 부분이 파일 업로드 부분이죠.
조치3. dbconfig.php 임의의 폴더로 옮기로 읽기전용 폴더로 설정하고 data 폴더안에서는 php 실행불가능하게 설정했습니다. php 파일 업로드하고 URL 입력하고 엔터치면 다운로드 창이 뜨더군요. ㅎㅎ 왜 개발자님이 dbconfig.php 파일을 취약한 폴더에 생성되도록 했을까요?
아직 어디를 손봐야할지 정신이 몽롱해서 생각이 안납니다. ㅠㅠ
제가 분석하고 알려주고 뭔짓인지 모르겠습니다.
적어도 변조된 파일이 있으면 그 시간 전후 생성된 파일 목록은 찾아봐야하는거 기본아닌지요.
제가 목록 뽑아서 일일이 분석하고 아이피 차단 요청하고 어제 저녁부터 지금까지 노과다 하고 있습니다.
뭐든지 자기가 공부하고 머리에 집어넣는게 최고인듯 합니다.
나름 전문가라고 인정하고 유료 서비스를 부탁했더니 끝장내지도 않고 일요일이라 퇴근했답니다.
조치1. 공격아이피가 외놈이라 해외 아이피 전부 차단했습니다. 이제 절대 안열어 줍니다.
조치2. 위지윅 에디터(cheditor?) 모조리 없애고 텍스트 편집기로 설정중입니다. 패치도 홈페이지 한두개 관리할때 말이지 지금은 너무 힘듭니다. 네이버 편집기로 변경할까 고민중입니다. 아니면 텍스트로 밀고 가야겠습니다. 가장 취약한 부분이 파일 업로드 부분이죠.
조치3. dbconfig.php 임의의 폴더로 옮기로 읽기전용 폴더로 설정하고 data 폴더안에서는 php 실행불가능하게 설정했습니다. php 파일 업로드하고 URL 입력하고 엔터치면 다운로드 창이 뜨더군요. ㅎㅎ 왜 개발자님이 dbconfig.php 파일을 취약한 폴더에 생성되도록 했을까요?
아직 어디를 손봐야할지 정신이 몽롱해서 생각이 안납니다. ㅠㅠ
@컴대장 파일변조라면 dbconfig.php파일말고도 다른곳에 있을 가능성도 있다고 알고 있어요.
http://phpschool.com/link/tipntech/81229 이쪽도 참조를 해보심이..
요새 컴대장님뿐아니라 꽤 많은분들에게 보안이슈가 발생하는듯 하네요..
http://phpschool.com/link/tipntech/81229 이쪽도 참조를 해보심이..
요새 컴대장님뿐아니라 꽤 많은분들에게 보안이슈가 발생하는듯 하네요..
@l2zeo 그래서 저도 위지윅 에디터를 텍스트로 변경하는 작업을 수행하고 있습니다.
차후 SQL injection 공격을 필터링하는 소스를 보완한 다음 허용할지 여부를 판단하려구요.
사용자의 편의가 중요하냐 보안이 중요하냐? 갈림길에 놓여있네요. 조언 감사합니다.
차후 SQL injection 공격을 필터링하는 소스를 보완한 다음 허용할지 여부를 판단하려구요.
사용자의 편의가 중요하냐 보안이 중요하냐? 갈림길에 놓여있네요. 조언 감사합니다.
@컴대장 dbconfig.php 파일이 url로 접근 시 다운로드 된다는 말씀인가요?
어떤 호스팅을 사용하시는진 모르겠지만 .htaccess를 통해서 따로 수정하신게 없다면 호스팅 업체의 문제입니다.
냑도 마찬가지고 그누보드로된 대부분의 사이트에서 domain.com/data/dbconfig.php 하시면 백지가 뜨거나 오류가 뜨지 다운로드 되지는 않습니다.
어떤 호스팅을 사용하시는진 모르겠지만 .htaccess를 통해서 따로 수정하신게 없다면 호스팅 업체의 문제입니다.
냑도 마찬가지고 그누보드로된 대부분의 사이트에서 domain.com/data/dbconfig.php 하시면 백지가 뜨거나 오류가 뜨지 다운로드 되지는 않습니다.
@조선왕조씰룩 아~ 제가 아파치 설정을 변경해서 data 폴더에 php로 작성된 악성코드 파일을 업로드 하더라도 실행이 불가능하게 했다는겁니다. 물론 말씀하신 .htaccess로 설정이 가능하지요. 참고로 data 폴더는 777로 설정을 하기 때문에 악성코드가 올라가면 보안이 취약하지요. 그래서 dbconfig.php 파일을 다른곳으로 이동하고 경로를 재설정했다는 뜻이었습니다.
원인을 찾았네요... 중요한 사안이라 긴급으로 글써야 할 듯...
