제서버에 남은 웹로그인데 해킹인것같은데요..고수님 조언 부탁드려요 ㅠㅠ
112.219.92.82 - - [24/Mar/2012:01:01:42 +0900] "GET /phpmyadmin/main.php?reload=1&sql_query=select+%27%3C%3Fphp+echo+%5C%27%3Cpre%3E%5C%27%3Bsystem%28%24_GET%5B%5C%27cmd%5C%27%5D%29%3B+echo+%5C%27%3C%2Fpre%3E%5C%27%3B+%3F%3E%27+INTO+OUTFILE+%27%2Ftmp%2F.a%27&token=6447c5d6e0ef4ea9a5807a9cdf775021 HTTP/1.1" 200 7428 "도메인/util/phpmyadmin/server_sql.php?token=6447c5d6e0ef4ea9a5807a9cdf775021" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.26) Gecko/20120128 Firefox/3.6.26"
위와같이 웹로그가 다수 발견되었는데요
phpmyadmin 소스 파일을 웹에서 다운받을수 있게 리스트 보이게 해둿엇는데 그경로 뒤에 이런식으로 쿼리를 남겼네요.. 굵게 표시해놓은 .a 파일이 /tmp 디렉토리에서 발견되었구요..
인젝션이나 그런형태 인건가요?
아이피 변조해서 무수히 많은 로그가 생성되었습니다 ㅠㅠ
zh-CN이건 중국이라는거같기도 하고 ㅠㅠ 조언바랍니다 ㅠㅠ 일단 그경로의 파일은 삭제햇습니다 ㅠㅠ
|
댓글을 작성하시려면 로그인이 필요합니다.
프로그램
태그 필터 (최대 3개)
전체
개발자
소스
기타
mysql
팁자료실
javascript
php
linux
flash
정규표현식
jquery
node.js
mobile
웹서버
os
프로그램
강좌
썸네일
이미지관련
도로명주소
그누보드5
기획자
견적서
계약서
기획서
마케팅
제안서
seo
통계
서식
통계자료
퍼블리셔
html
css
반응형
웹접근성
퍼블리싱
표준화
반응형웹
홈페이지기초
부트스트랩
angularjs
포럼
스크린리더
센스리더
개발자톡
개발자팁
퍼블리셔톡
퍼블리셔팁
기획자톡
기획자팁
프로그램강좌
퍼블리싱강좌
댓글 3개
별다른 의심점은 /tmp 에 파일이 생겼다라는건데....폴더명을 phpmysadmin 이런식으로 쓰는건
위험하구요...조치는 잘 취하신것 처럼보이네욤...
파일 삭제와 더불어 경로변경 , phpmyadmin 버전업 정도 조치 하시면 될듯 한데욤
일단 서버내에 파일은 다 털어갈 수 있는 상황이 되었고요.
(소스, db접속 계정 정보, DB 내용)
우선 기본적으로 비밀번호 변경하시고요.
가능한 업데이트 다 해주시고요.
웹셀 이후에 권한 탈취 시도까지는 없었던 것 같습니다만
좀비 PC 가능성도 높으니
ps aux 에서 이상한 프로세스 있으면 삭제해주세요
neststat -a 해서 정체모를 IP로부터 명령 받고있는건 없는지 확인하시고요.
phpmyadmin 경로 변경해서 다른 곳에서 쓰시고
phpmyadmin 최신 버전으로 다시 받으시고요.
MySQL은 해당 서버에서만 접근할 수 있게 IP제한 걸어주시고
PHPMyadmin도 IP 제한 걸면 좋고요.
가능하면 방화벽으로 오픈해야 하는 서비스만 오픈하심이 좋아보이십니다.
phpmyadmin 트래픽 공격도 발생하더군요.