금번 웹쉘 공격에 대한 조치 중간 결과
걱정이 많으시겠습니다. 저도 당해서 그 심정 충분히 이해갑니다.ㅠㅠ
지금 여기 계신분들 중에도 몰라서 그렇지 cheditor 취약점을 이용한 공격 엄청 많이 받았을 겁니다.
지금 당장 아래 명령을 실행해 보세요.
# grep -R "SetHandler application/x-httpd-php" /home
# grep -R "eval(base64_decode" /home
# grep -R --include="*.jpg" "<?php" /home
이렇게 해서 1개라도 발견되면 웹쉘이 업로드된겁니다.
150만원주고 지금 서버 전체를 점검하고 있네요.ㅠㅠ
금번에 알게된 사실인데요. data 폴더안에 아래 파일을 업로드했더군요.
.htaccess
<FilesMatch "index.do">
SetHandler application/x-httpd-php
</FilesMatch>
이렇게 하면 php 서버에서 do 파일이 실행된다는 사실...ㅠㅠ
index.do 파일은 광고 사이트 리다이렉트 웹쉘
index.do를 mbc.jpg로 설정하면 mbc.jpg 안에 있는 php 코드가 실행되는거죠.
이거 방어하려면 아래 아파치 설정을 참고하세요.
//////////////////////// 필수 보안 설정 ///////////////
앞으로 일반회원에게는 무조건 dhtml 허용 불허!!
에디터 폴더명 비밀번호 작성규칙에 따라 변경 cheditor5 => Og#26!Ok
upload.php 이미지 파일 정밀 검정(이중확장자 검증, MIME 타입 검증, 파일 시그니처 검증, 파일 내용 검증 추가)
# chmod 644 dbconfig.php
# chown -R daemon:daemon data // 소유자는 상황에 따라 다름
# find data -type d -exec chmod 750 {} \; // data 폴더 및 서브 폴더
# find data -type f -exec chmod 640 {} \; // data 폴더 내부 파일
※ 아파치 설정에서 data 폴더 내부에서는 아무것도 실행 못하게 설정
<Directory "/home/test/public_html/data">
AllowOverride None
Options -Indexes -ExecCGI
SetHandler none
<FilesMatch "\.(htm|html|php|php3|phtml|phar|inc|cgi|pl|do)$">
Require all denied
</FilesMatch>
</Directory>
//////////////////////////////////////////////////////////////////////////
이정도 해두면 해커가 지랄발광을 해도 어느정도 안전하다고 봅니다만....
망할놈 때문에 몇일째 밤잠을 설치고 있네요.
아~ 그리고 특별한 문제가 없다면 해외 아이피 무조건 차단 권고!!
그리고 예전 cheditor5에 _config.php 파일에 보면 퍼미션이 0707 이렇게 되어있는데...
위험 천만한 짓이죠. 당장 755나 750으로 변경해야 합니다.
지금까지 검증결과로 봐서는 단순 광고 목적으로 웹쉘을 업로드한것 같다고 하는데
최종 결과는 1~2주 후에 나온다고 하네요. 쳐죽일놈들~
지금 여기 계신분들 중에도 몰라서 그렇지 cheditor 취약점을 이용한 공격 엄청 많이 받았을 겁니다.
지금 당장 아래 명령을 실행해 보세요.
# grep -R "SetHandler application/x-httpd-php" /home
# grep -R "eval(base64_decode" /home
# grep -R --include="*.jpg" "<?php" /home
이렇게 해서 1개라도 발견되면 웹쉘이 업로드된겁니다.
150만원주고 지금 서버 전체를 점검하고 있네요.ㅠㅠ
금번에 알게된 사실인데요. data 폴더안에 아래 파일을 업로드했더군요.
.htaccess
<FilesMatch "index.do">
SetHandler application/x-httpd-php
</FilesMatch>
이렇게 하면 php 서버에서 do 파일이 실행된다는 사실...ㅠㅠ
index.do 파일은 광고 사이트 리다이렉트 웹쉘
index.do를 mbc.jpg로 설정하면 mbc.jpg 안에 있는 php 코드가 실행되는거죠.
이거 방어하려면 아래 아파치 설정을 참고하세요.
//////////////////////// 필수 보안 설정 ///////////////
앞으로 일반회원에게는 무조건 dhtml 허용 불허!!
에디터 폴더명 비밀번호 작성규칙에 따라 변경 cheditor5 => Og#26!Ok
upload.php 이미지 파일 정밀 검정(이중확장자 검증, MIME 타입 검증, 파일 시그니처 검증, 파일 내용 검증 추가)
# chmod 644 dbconfig.php
# chown -R daemon:daemon data // 소유자는 상황에 따라 다름
# find data -type d -exec chmod 750 {} \; // data 폴더 및 서브 폴더
# find data -type f -exec chmod 640 {} \; // data 폴더 내부 파일
※ 아파치 설정에서 data 폴더 내부에서는 아무것도 실행 못하게 설정
<Directory "/home/test/public_html/data">
AllowOverride None
Options -Indexes -ExecCGI
SetHandler none
<FilesMatch "\.(htm|html|php|php3|phtml|phar|inc|cgi|pl|do)$">
Require all denied
</FilesMatch>
</Directory>
//////////////////////////////////////////////////////////////////////////
이정도 해두면 해커가 지랄발광을 해도 어느정도 안전하다고 봅니다만....
망할놈 때문에 몇일째 밤잠을 설치고 있네요.
아~ 그리고 특별한 문제가 없다면 해외 아이피 무조건 차단 권고!!
그리고 예전 cheditor5에 _config.php 파일에 보면 퍼미션이 0707 이렇게 되어있는데...
위험 천만한 짓이죠. 당장 755나 750으로 변경해야 합니다.
지금까지 검증결과로 봐서는 단순 광고 목적으로 웹쉘을 업로드한것 같다고 하는데
최종 결과는 1~2주 후에 나온다고 하네요. 쳐죽일놈들~
총 2명이 반응했습니다
|
댓글을 작성하시려면 로그인이 필요합니다.
댓글 5개
Q&A에 어떤 분이 공격 당했다는 글이 올라왔길래 댓글로 달려고 했더니...
소스 코드에 위험한 인자들이 있어서 그런지 글을 등록하니까
"네트워크 오류" 창이 떠서 여기에 올립니다.
다른 분들도 참고하시고 점검해 보시기 바랍니다.
그리고 업데이트를 게을리 하지 마시고 매일 서버에 붙어 계시기 바랍니다.^^
그누보드4로 제작된 홈페이지 빨리 갈아 엎어야하는데 돈이 없다고 하네요..ㅎㅎ
다행이게도 저에겐 특별한 흔적이 없고 서버 작업이 잘되어져 있었습니다.....^^
더이상 업데이트가 안되는 cheditor5는 사용 하지 않는걸 추천 드립니다.
예전에 배포버전을 적지 않은 금액으로 구입했는데 회사 자체가 없어졌는지
업데이트 버전 다운로드 도 안되고 그에 따른 안내도 없이 접속 자체가 안되네요.....ㅠㅠ
즐거운 하루되세요.
그누보드4에 포함된 5.1 이전 버전 문제일듯 합니다.
그누보드5에 포함된 CHEditor 5.1.9.4 버전으로 커스트 마이징하고 있습니다.
개발사는 문을 닫은 모양이네요.ㅠ