사이트에 해킹이 있었네요....ㅠㅠ 정보
사이트에 해킹이 있었네요....ㅠㅠ
본문
오늘 서버에 계정을 옮기고 백업된 파일을 점검중이었는데....
서버 트래픽이 널을 띠길래 확인중입니다.
못보던 파일이 두어개 보여집니다. 아마도 사이트 계정에
Cheditor 를 이용해서 웹쉘파일을 올려놓고 해킹을 시도한것 같습니다.
그리고 고맙게(?)도 야한 동영상 사진이 엄청 올라와 있네요....ㅠㅠ
지금 하나하나 확인하고 지우는 중입니다.
200.php 라는 파일에 아래와 같은 내용이 있네요....ㅜㅜ
data/cheditoe4 폴더내에 200.php 와 1a06364b5df016cef0547cf328bbd6a0_wso2.phtml 이 있고
계정 최상단에 b374k.php 파일이 있네요. 내용은 이미지 처리 했습니다.
회원님들께서도 한번씩 확인 해 보시는것이 좋을듯 하네요.
위의 세가지 파일 분석 가능하신분 계시나요?
추천
0
0
댓글 24개
참조 하겠습니다. 감사합니다
분석이 되시면 알려주시면 감사하겠습니다...^^;;
크헉... 서버 이전하자마자 ㅠ ㅠ.. 해킹하는 사람들도 참 대단하네요-ㅅ -;;
서버 이전 하면서 알았네요. 이전에 미리 올라와 있었습니다....ㅠㅠ
동영상 확인하는 작업 도와드릴깝쇼?
됬거든요....피~
네.. 그렇더라구요....ㅠㅠ
삭제전에 다운 받아야 하나요? ㄷㄷㄷㄷ
아마도 그렇겠죠....^^;;
다운 받을 수 있는 주소 좀?
됐거든요~~~
ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
1. 업로드 서버는 물리적으로 분리를 하던가, 가상화로 처리합니다.
2. 업로드 파일은 다이렉트 경로에 놓지 말고, 웹접근 안 되는 경로에서 readfile 을 이용해서 스트림을 보냅니다.
3. selinux 와 시스템 퍼미션 설정을 이용해서 php 업로드 임시 디렉토리, /tmp(파티션 별도로 생성) 권한을 반드시 제한합니다.
4. 업로드 프로세스에 레퍼러 체크 등 다중화된 보안 점검 로직을 구현해놓습니다.
이렇게 도입한 게 좀 되었는데, 적어도 파일 업로드로 인한 피해는 예방 잘 되고 있는 것 같습니다.
2. 업로드 파일은 다이렉트 경로에 놓지 말고, 웹접근 안 되는 경로에서 readfile 을 이용해서 스트림을 보냅니다.
3. selinux 와 시스템 퍼미션 설정을 이용해서 php 업로드 임시 디렉토리, /tmp(파티션 별도로 생성) 권한을 반드시 제한합니다.
4. 업로드 프로세스에 레퍼러 체크 등 다중화된 보안 점검 로직을 구현해놓습니다.
이렇게 도입한 게 좀 되었는데, 적어도 파일 업로드로 인한 피해는 예방 잘 되고 있는 것 같습니다.
저도 웬만한건 서버단에서 다 해놓았는데 어캐 뚫고 들어 왔는지 모르겠네요.....ㅠㅠ
헉...어제 저도 리눅스 서버 세팅했는데... SSH만 제 계정만 가능케 하고
접속도... 192.168. 에서만 접속하게만 했는데
그리고 SSH 도 2명만 접속케 하고..
물론 SSH 에서 ROOT 접속 불가처리하고
이렇면 되었습니까? 또 필요한거 있습니까?^^
질문1 : SSH 을 1명만 접속케 하려는데 그러면.. SSH 접속하고 있는도중에 SFTP 접속 못합니까?
SSH 와 SSFP 접속 PORT는 같이 22를 쓰던데요
질문2 : 제 테스트 서버는 저 혼자 사용하는거라서.. top, fdisk, 등 거의 모든 명령어를 500, 또는 700으로 하려는데
물론 저는 제 계정으로 접속해서.. 바로 su - 로 전환해서 작업하려고
그러면 문제가... 이상하게... 다른 프로그램 설치가 안되는것 같던데...
혹시...일반 사용자들이 명령어 사용못하게 그런 명령어를 500, 이나 700으로 변경하면
새로운 프로그램 설치할때 문제가 발생합니까?
솔직히 이런 질문은... 고수에게 질문해야 되서.. 그냥 아파치님에게 질문드립니다
접속도... 192.168. 에서만 접속하게만 했는데
그리고 SSH 도 2명만 접속케 하고..
물론 SSH 에서 ROOT 접속 불가처리하고
이렇면 되었습니까? 또 필요한거 있습니까?^^
질문1 : SSH 을 1명만 접속케 하려는데 그러면.. SSH 접속하고 있는도중에 SFTP 접속 못합니까?
SSH 와 SSFP 접속 PORT는 같이 22를 쓰던데요
질문2 : 제 테스트 서버는 저 혼자 사용하는거라서.. top, fdisk, 등 거의 모든 명령어를 500, 또는 700으로 하려는데
물론 저는 제 계정으로 접속해서.. 바로 su - 로 전환해서 작업하려고
그러면 문제가... 이상하게... 다른 프로그램 설치가 안되는것 같던데...
혹시...일반 사용자들이 명령어 사용못하게 그런 명령어를 500, 이나 700으로 변경하면
새로운 프로그램 설치할때 문제가 발생합니까?
솔직히 이런 질문은... 고수에게 질문해야 되서.. 그냥 아파치님에게 질문드립니다
백업은 하시고 삭제하시는거죠?
말밥이지요....^^
보안부분이야 항상 개발자가 신경을 써야하지만 놓치고 가는 부분이 참 많더라구요.
지금은 고인(?)이 된 sql인젝션... 그래도 꽤 성업중인사이트에도 잘 먹힙니다.
아예 거들떠도 안보는 XSS ... 역시 월매출 몇억대 사이트에 여전히 적용 됩니다.
월매출이 몇억~몇십억 이면 뭐하나요? ㅠㅠ 관리자페이지 다 털리고, 매출공개되고, 리퍼러 다 따이는뎅...
지금은 고인(?)이 된 sql인젝션... 그래도 꽤 성업중인사이트에도 잘 먹힙니다.
아예 거들떠도 안보는 XSS ... 역시 월매출 몇억대 사이트에 여전히 적용 됩니다.
월매출이 몇억~몇십억 이면 뭐하나요? ㅠㅠ 관리자페이지 다 털리고, 매출공개되고, 리퍼러 다 따이는뎅...
data 폴더에 .htaccess 를 이용해 웹쉘의 파일을 실행을 막았는데도
어떻게 계정 최상위에 웹쉘 프로그램인 b374k-shell 가 심어 졌는지 모르겠습니다.
그누보드에 취약점이 있는건지 cheditor 에 취약점이 있는지 모르겠네요.....ㅠㅠ
누가 이파일들의 분석을 할수있는 분이 계시면 좋으련만.......
어떻게 계정 최상위에 웹쉘 프로그램인 b374k-shell 가 심어 졌는지 모르겠습니다.
그누보드에 취약점이 있는건지 cheditor 에 취약점이 있는지 모르겠네요.....ㅠㅠ
누가 이파일들의 분석을 할수있는 분이 계시면 좋으련만.......
아는 분에게 받은 답변이 있는데 .... 쪽지 보내드렸습니다.
감사합니다. 쪽지 확인해 볼께요.
우.. 동영상 무지 야하네요
동영상을.. 놓쳤군요.. OTL 가.. 아니라;;; 고생하십니다 ㅜㅠ
