스팸링크 스크립트 공격 2차증상 재발 - 증상 확인및 조치
http://sir.kr/cm_free/1367683?cpage=1#c_1367788
위 글로 도움이 필요해 글을 쓴적이 있었습니다.
재발을 했습니다 ㅠ.ㅠ
이번에는 4989.in으로 링크가 걸리더군요 ;;
재발한 것으로 미루어 심어진 코드가 계정마다 존재한다는 확신에 어제 점검을 시행했습니다.
그 결과 일전에 보였던 증상은 모두 훼이크였습니다.
그 증상들은 결과물일 뿐 결과물을 뽑아내는 파일은 따로 심겨져 있었다는 거죠.
find /home -name "*.php.x"
find /home -name "*.phtml"
등으로 검색 했을때 발견되는 파일이 있었습니다.
이미지인척 이미지 폴더들 사이에 섟여 있더라구요.
파일의 위치가 다르고 솔루션이 그누4, 그누5, 킴스큐 등 모두 포함된 6개의 계정에서 발생 했습니다.
관리자나 회원 로그인 기록에 파일 업로드 흔적이 없었습니다.
리눅스 서버 내 관리자 권한으로 해당 폴더등에 접근 혹은 파일을 생성한 로그가 없었습니다.
웹로그 중에 해당 파일이 만들어진 날짜에 비정상적인 접근 URL이 존재하지 않았습니다.
허나 파일의 소유자가 모두 아파치로 확인되어 웹에서 업로드 된것은 확실하다 생각 합니다.
폴더는 파일 업로드 용으로 권한이 707이였던 폴더들로 취약점을 특정지을 순 없었습니다.
그외 발견된 특징으로는 public_html 폴더의 권한이 707이였던 폴더에서만 발견되었습니다.
왜 이게 707인지는 아직 모르겠습니다.
이렇게 권한을 주었다면 그거 저 아니에요 -_-;
일단 모두 701로 변경 하였습니다.
발견된 find /home -name "*.php.x", find /home -name "*.phtml" 파일을 모두 삭제 하였습니다.
더이상 발견되는 특징이 없는걸 보니 또 재발하진 않을 것 같습니다.
헌데 아직 어떤 취약점으로 파일을 업로드 했는지를 모르겠습니다.
어떤 녀석은 팝업이미지 폴더에 어떤 녀석은 그냥 디자인용 이미지 폴더...
일단 image 라는 폴더명을 기준으로 접근한 것은 맞는데 업로드한 흔적은 못찾고 있습니다.
이건 저번과 또 똑같은 고민을 하나 남기고 가는군요.
이상입니다.
|
댓글을 작성하시려면 로그인이 필요합니다.
로그인
댓글 4개
무식하면 용감하다그,,~..저는...
그안에 특정 지시코드를 찾는데는 실패했습니다.