웹서버 해킹 피해여부 점검방법

1. 개    요

  가. 최근 해외로부터 홈페이지 취약점을 이용, 해킹파일(Webshell)을 설치하여 시스템 권한을 장악하고 서버내 자료 및 웹소스코드 등을 절취하는 사고가 빈발

  나. 사고발생의 주요 원인은 국가사이버안전센터 홈페이지 게시판의 업로드·다운로드 취약점, SQL Injection 취약점 등으로 2005년 5월 국가사이버안전센터가 배포한 '홈페이지 보안관리 매뉴얼 준수시 제거 가능한 단순 취약점

  다. 각급기관 웹서버의 피해여부를 확인하고, 유사사고 예방을 위해 홈페이지 보안관리 매뉴얼에 의거한 취약점 일괄 점검·제거 등 보안관리 강화 필요

2. 점검 방법

 가. 점검 대상

    o 홈페이지, 웹메일 시스템 등 인터넷망에 연결되어 웹서비스를 제공하는 모든 웹서버

 나. 점검 방법

    o 웹서버내의 파일검색

구분

조 건

검색대상

웹서버내의 JSP, PHP, ASP 파일

검색 문자열

codepage="936"

codepage="949"

<++ hello.asp ++>

exec(cmd)

exec(strcvt)

value='$command'

결과통보

위 문자열을 포함하는 파일이 존재하는 경우, 정상 사용여부를 확인하고 의심스러운 파일을 신고

    o 웹서버의 로그 검색

구분

조 건

검색대상

2005년 3월 이후 기록된 웹로그

검색 문자열

run=

ls.asp

검색 IP 대역

 61.19.51.228

 61.19.242.37

61.135.158

 195.175.37.6

 200.57.130.22

202.21.134.25 

 202.56.253.177

 202.129.20.14

203.95.105.2

 203.124.2.13

 203.160.1.45

203.162.27.84

 210.87.251

 218.24.4.9

218.57.243

 219.232.9.180

 221.10.55.226

222.43.34.94

    ※ 검색IP대역은 인터넷에 공개되어 해킹에 악용되는 Proxy Server IP 및 대역임