펄스나인님 운영중이신 그누보드 리빌더에서 발견된 악성코드 정보
펄스나인님 운영중이신 그누보드 리빌더에서 발견된 악성코드본문
그누보드 리빌더 부가기능중 주간랭킹 수정중 수상한듯 수상하지 않은 코드 발견
놀랍게도 웹쉘로 이어지는 코드 30자 내외의 아주 짧고 간단하지만 강력한 코드였고 암호화 되어있었던거 같습니다..
주간랭킹에서 특정파라미터에 값을 입력 하는 명령어를 전송하는듯 하고
발견까지도 몰랐습니다.. 이게 뭘까하는 단순한 호기심에서 조금씩 파보다 알았네용
운영자님이 직접배포중이신걸로 아는데 펄스나인님이 그러셨을일은 없을테고 혹시 내부자소행 그런건가요 리빌더 사이트 접속이 안되서 급한데로 자게에 올려봅니다
주간게시판 사용시 수정하시거나 조심하세요 !
코드를 알려드리기 조심스러운 이유가 아직제대로 패치가 안된상태라 악용의 우려가 있어서 공식적인 패치전까지는 직접 찾으셔서 수정하셔야 할듯용 ㅠㅠ
0
댓글 19개
간혹이런케이스 본적이있는데 사이트해킹당해서 해커가 정상파일인척 수정해서 올린경우
일반 사용자가 다운로드 가능한 배포형 빌더라면
다운받고 사이트운영중이신 모든분들 잠재적인 공격대상이 되겠네요...
혹시 전에 자료실에 올라온거 아니었을까요?
그나저나 말씀하신것처럼 리빌더 홈피 접속이 안되네요
리빌더 사이트는 아까 보니까 디도스 공격중이란 공지를 봤어요
어떤 코드인지 쪽지로라도 좀 받아볼 수 있을까요?ㅜ
공식자료라면 타격이 크겠네요. 믿음이 흔들리는 거라서...
혹시 인기글위젯_1.1.5 이건가요?
설치하긴 했는데 일단 지워야겠네요
SIR 에라도 상황 설명을 좀 해주셨으면 좋겠는데..
들어가지질 않는군요
디도스로 다운된 상태이지만
Winscp 로 접근은 가능한상태라, 오늘자 해당파일 확인 마쳤습니다만
이상은 없습니다.
내부 소행일수가 없고, 제가 작업한거라.
해킹(?)으로 누군가 몰래 올려놓고 다운받게하고
다시 원본 파일을 올렸다는 논리가 성립인데
FTP나 SSH 접근은 제아이피만 가능하게 되어있고,,
그럼 관리자 로그인 정보를 해킹했다고 치고 파일을 수정했다,,
면 FTP상으로 파일 등록된 시간이 파일을 최초 생성한 시간과
맞아서 이것도 말이안되는데,,
우선 작성자분 리빌더 공홈 아이디와 파일좀 *** 개인정보보호를 위한 이메일주소 노출방지 *** 로
부탁드려도될까요?
다운받으신 시기도 알려주시면 좋을것같습니다.
@펄스나인
만약 리빌더가 웹쉘로 관리자를 해킹당한 것이라면 FTP나 SSH접근없이 서버로 직접 파일을 업로드 가능하고 업로드후 날짜 수정도 가능합니다.
경우에 따라서 서버내에 모든명령어 사용가능*
@달달달달이 웹쉘로 변조를했다면 서버 로그를 보면 알 수 있겠네요.
실제 접근시간이나 요청시점은 남으니
@펄스나인 웹셀이 사용된 경우에도 액세스 로그에 아무 흔적도 남지 않을 수 있는 시나리오가 몇 가지 존재합니다.
@bank365
3월은 참 힘든달이네요,
우선 오늘 로그 확인과 계정내 파일도 좀 돌려봐야될것같아서
내일쯤 복구될것같네요.
관련내용은 복구시키고 별도 전달 드리겠습니다.
@bank365 이건 너무 가신듯...ㅋㅋ 그냥 저분이 사용중 실수로 감염됐을수도 있는거라 너무 의심은 맙시다 피곤해요
리빌더의 모든 부가기능을 다운받은 멤버십가입자인데
코드에대한 잘 알지는 못하지만
chatgpt claude 랭킹 관련 부가기능 돌렸을때는 이상없다고 하네요
저번 유료 기능에 악성코드 심어서 그누홈페이지에 사칭해서 게시한것부터해서... 저는 음모론을 더 의심해봅니다.
- VPN은 끄고 글을 작성했어야지 ㅋㅋㅋ
- 아미나나 나리야에서도 예전부터 악성코드 이슈가 꾸준히 있었죠.
요즘은 루트킷 계열 해킹도 빈번해서 OWASP 준수는 필수입니다
웹 프로그래밍 세계가 이렇게 살얼음판을 걷는 것이었는지 그동안 모르고 있었습니다
서버는 오픈되었고, 공격이 계속 들어오고 있어서 대응중에 있습니다.
접속이 다소 불안정하더라도 양해 부탁드립니다.
