오늘 서버를 점검하다가.... 정보
오늘 서버를 점검하다가....
본문
우연히 압축을 푸는 php 웹쉘을 발견했네요.
이런 썩을 놈들....
data 폴더는 모두 실행 안되게 해뒀는데...
한개의 홈페이지가 그누가 아니라 upload 폴더가 있었네요.
클램(ClamAV) 백신이 검사하면서 자동 백업하고 원본을 삭제해서
해당 폴더에 있던 소스 파일인지는 명확하지 않습니다.
혹시 해당 소스를 보신적 있는 분 있나요?
만약 공격을 했다면 서버에 다른 계정은 괜찮겠지요?
호스팅사에 점검 의뢰는 해두었는데 걱정이 좀 되네요.
오늘도 수고하셨습니다.
추천
0
0
댓글 9개
웹셀이라고 몇개 있어요 분석한적이 있어는데 강력하더라고요 .. Php 이면 그나마 다행입니다.
파일만 삭제만 하면 접속 불가라서 cgi(perl, ansi C 등) 또는 py( 파이션) 이면 미침.
저는 C99 (변형포함) 과 r57 ((변형포함)) 걸려봤음
아래 사이트는 웹셀 관련 연구 파일 공개 해놓은것이예요..
https://github.com/JohnTroony/php-webshells/tree/master/Collection
파일만 삭제만 하면 접속 불가라서 cgi(perl, ansi C 등) 또는 py( 파이션) 이면 미침.
저는 C99 (변형포함) 과 r57 ((변형포함)) 걸려봤음
아래 사이트는 웹셀 관련 연구 파일 공개 해놓은것이예요..
https://github.com/JohnTroony/php-webshells/tree/master/Collection
find 를 이용해 해당 파일이 서버 전체에 퍼져 있는지 먼저 확인 해 보심이....
예전에 mysql을 계속 덤프떠서 5분 간격으로 공격자 서버로 전송하는
파이썬 기반 쉘이 나온 사이트가 있었는데요...
mysql 이면 아시겠지만.. 회원 개인정보부터 사이트의 모든정보가 담긴
아주 민감한 데이터라... 굉장히 애매했는데요;
웹쉘을 계속 삭제해도 계속 다시 깔리더라구요..
PHP에서 파일을 올리는 부분의 취약점을 타고
일정주기마다 파일을 계속 업로드하도록 Cron을 짜 놓은것 같더라구요
해당 사이트에서 파일 업로드 하는곳이 굉장히 많았던데다가
동접자도 8천명 정도 되는 규모 좀 있는 커뮤니티라 파일 업로드를 막을 수 있는 상황이 아니라
서버를 아에 밀고 다시 깔았는데도 아무래도 PHP를 타고 쉘이 올라오던 상황이라..
다시 취약점을 타고 쉘이 올라오더군요..
미치는줄 알았습니다
결국 파일 업로드 관련 모든 파일 다 뜯어서 새로만들고 고쳤던 경험이 있네요..;
쉘 진짜 조심하셔야합니다...
파이썬 기반 쉘이 나온 사이트가 있었는데요...
mysql 이면 아시겠지만.. 회원 개인정보부터 사이트의 모든정보가 담긴
아주 민감한 데이터라... 굉장히 애매했는데요;
웹쉘을 계속 삭제해도 계속 다시 깔리더라구요..
PHP에서 파일을 올리는 부분의 취약점을 타고
일정주기마다 파일을 계속 업로드하도록 Cron을 짜 놓은것 같더라구요
해당 사이트에서 파일 업로드 하는곳이 굉장히 많았던데다가
동접자도 8천명 정도 되는 규모 좀 있는 커뮤니티라 파일 업로드를 막을 수 있는 상황이 아니라
서버를 아에 밀고 다시 깔았는데도 아무래도 PHP를 타고 쉘이 올라오던 상황이라..
다시 취약점을 타고 쉘이 올라오더군요..
미치는줄 알았습니다
결국 파일 업로드 관련 모든 파일 다 뜯어서 새로만들고 고쳤던 경험이 있네요..;
쉘 진짜 조심하셔야합니다...
쉘이 발견되셨다면 젤 먼저 어떤 종류의 쉘인지 확인하시고 쉘 방식에 따른 대처가 필요합니다
파일 업로드에 대한 점검은 필수인것 같습니다
PHP 파일 같은 쉘이면 단순히 삭제로 끝나겠지만 파이썬 같은 서버측 파일이라면 서버를 밀고 다시 까시는게 좋을수도 있습니다
파일 업로드에 대한 점검은 필수인것 같습니다
PHP 파일 같은 쉘이면 단순히 삭제로 끝나겠지만 파이썬 같은 서버측 파일이라면 서버를 밀고 다시 까시는게 좋을수도 있습니다
@도치즈 자세한 설명 감사합니다.
data 폴더는 html 코드가 그대로 보여지게 설정해 두었더니...
귀신 같이 707 폴더를 찾아서 그곳에 올려뒀네요.
역시 게으름이 낳은 결과인듯 합니다. 업뎃은 필수.........
html 소스를 보니 유흥업소 링크 페이지 인듯 한데 마지막에 쿠키를 탈취하기 위한 자바 소스가 있는듯 합니다.
계정탈취용은 아닌것 같고 광고 페이지 수십개를 여러개의 폴더에 동일하게 올려둔거 보니... 저의 서버를 이용한 광고인것 같습니다.
일단 밤샘 점검 끝에 찾아냈고 고객센터에 접수를 해둔 상태입니다.
감사합니다.
data 폴더는 html 코드가 그대로 보여지게 설정해 두었더니...
귀신 같이 707 폴더를 찾아서 그곳에 올려뒀네요.
역시 게으름이 낳은 결과인듯 합니다. 업뎃은 필수.........
html 소스를 보니 유흥업소 링크 페이지 인듯 한데 마지막에 쿠키를 탈취하기 위한 자바 소스가 있는듯 합니다.
계정탈취용은 아닌것 같고 광고 페이지 수십개를 여러개의 폴더에 동일하게 올려둔거 보니... 저의 서버를 이용한 광고인것 같습니다.
일단 밤샘 점검 끝에 찾아냈고 고객센터에 접수를 해둔 상태입니다.
감사합니다.
@컴대장 고생많으셨네요... 다행입니다 ㄷㄷ;;
엄청 위험할 뻔 했네요 ㄷㄷㄷ
