할것이 무지하게 많네요....ㅠㅠ

오늘 출장 가야하는데도 아직 떠나지 못하고 사이트에 해킹 의심되는 파일을 차례차례 확인하고 삭제해 나가고 있습니다.

더럽고 치사한 분(?)들이 참 많은것 같네요. 써글~~~

아래내용은 지금까지 계정내를 샅샅이 살펴본 결과 입니다. 참고 하세요.

사이트에 웹쉘 업로드로 인한 사이트 해킹이 있었습니다.
이번 서버이전 관계로 살펴보던중 확인이 되었고 해킹에 관련된 파일은 삭제하고 있습니다.

서버이전으로 보안이 허술해진점을 이용하여 data/cheditor 폴더에 웹쉘파일을 업로드하고 해킹을 시도 하였습니다.
서버단에서 실행파일이 실행되지 않도록 조치 되어 있었지만 찝찝한 마음은 어쩔수없나 봅니다....ㅠㅠ

해당 웹쉘파일은 아래와 같습니다.

data/cheditoe4 폴더내에 200.php 와 1a06364b5df016cef0547cf328bbd6a0_wso2.phtml 이 있었고

그외 하위 폴더에 .exe-x .htm-xl .thumb .php-x 이렇게 4종류의 파일이 더 있었습니다. 그리고
계정 최상단인 public_html 폴더에 b374k.php 파일이 있었습니다.

회원여러분들께서도 사이트 계정내에 웹쉘 프로그램이 업로드 되었는지 한번씩 확인 하시는 것이 좋을듯 합니다.

만약 해킹이 의심스럽다면 쉘로 접속하여 cd /public_html/data 폴더로 이동하여 아래와 같이 검사해 보시기 바랍니다.

# 현재폴더와 전체 서브폴더에서 .php로 끝나는 파일을 검색한다.
find . -name "*.php"

# 현재폴더와 전체 서브폴더에서 .php로 끝나는 파일의 내용중에서 common.js 포함된 파일을 검색한다.
find . -name "*.php" | xargs grep "common.js"

파일이 검색되면 아래와 같은 형식으로 삭제 하시면 됩니다.
find ./ -name *.php-x -exec rm -f {} \;

모니터를 너무 째려 보았더니 눈이 충혈되고 피곤 하네요. 좀 쉬었다가 출장길을 서둘러야 할듯.....ㅠㅠ