호스팅 해킹 ... 그누보드 4.33 + php 4.4 정보
호스팅 해킹 ... 그누보드 4.33 + php 4.4본문
아침에 고객사에서 전화가 왔습니다
홈페이지 접속이 안된다고 ...
뭔일인가 싶어서 들어가보니 config.php 에러라면서 오류메시지가 주루륵 뜨고 있네요.
ftp 접속해보니 config.php 가 해킹코드로 변조되어 교체가 되어 있더군요.
기존 파일은 config.php.tmp 로 변경해놓고 말입니다 ( 삭제 안해서 고맙기는 하더군요 )
특이한것은 error_log.txt 라는 이상한 파일이 보이네요
내용은 아래와 같이 적혀 있네요
---------------|V0y493|---------------
USER AGENT: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36
Email: *** 개인정보보호를 위한 이메일주소 노출방지 ***
Password: asfasdfasdfas
IP : 119.160.97.2**
--------------------------------------------
City: Lahore
Region: Punjab
Country Name: Pakistan
Country Code: PK
---------------------------------------------
본문에 보이는 ip 는 홈페이지 웹서버 ip도 아니고... (끝에 두자리만 변경)
해킹 경유한 아이피인거 같기도 하고 ...
그누보드 5 로 업그레이드를 해야할듯 싶어서
호스팅사에 php 5.2 이상 사용가능한 서버로 이전을 요청했네요.
서버에 대한 전체적인 해킹이 된건지,
플래시 버그에 대한 해킹인건지,
그누보드 4.33.00 취약점 해킹인건지,
명확하지는 않지만, 아마도 그누보드4 취약점에 대한 해킹이 아닐까 추측하고 있습니다
최대한 빨리 그누보드 5 로 올라가야 겠습니다.
1
댓글 8개
약간의 비용이 청구되겠지만, 해줘야죠 ~~
이유는.. 제 서버가 php 4만 지원 ... 대신.. 그누 엔진만 쓰고,
그누5는 외부 서버이용할때는 사용하지요
그누4는 저도 거래처가 해킹으로 된통 당해봐서 갑자기 우울해지네요
제가 운영하는 서버가 2대인데, 1대는 php5.2 , 1대는 php 7.2 로 가동중이죠
php 5.2 서버를 종료해야하는데 그곳에 그누보드4 홈페이지가 20개가 남아서
12월이 가기전에 모두 이전하는게 목표입니다
매월 1일마다 다짐하는데, 그게 1년이 다되가네요. 돈이 줄줄줄 ... ㅠㅠ
저도 예전에 dbconfig.php 파일을 변조하는 공격을 당해봤어요.
그것 말고는 설명이 안되더라구요.
서버 전체를 점검 의뢰했는데 다른곳에는 문제를 발견하지 못했거든요.
한마디로 업로드 취약점은 반드시 업그레이드해야 한다는 점입니다.
확장자 그림파일, 압축파일, 오피스 파일만 허용....나머지 No!!
제작할떄 이후로는 패치를 거의 안하니... 문제이기는 합니다
매월 유지보수 비용을 받으면 할텐데, 그것도 아니니 말이죠
패치가 나오면 바로바로 업데이트 해 주는게 좋은데.......
그것이 쉽지 않네요~~~