홈페이지에악성코드 이런식으로삽입되는군요 정보
홈페이지에악성코드 이런식으로삽입되는군요본문
어떤웹호스팅회사에갔다가 읽은내용인데 복사해서붙여봅니다.
원인은, 취약프로그램 내에 암호화 되어있지 않고 계정정보가 그대로 적힌 데이터베이스 설정파일을 확인한 후 이 정보로 FTP를 접속하여 html,php,js 등의 홈페이지소스를 다운받고, 최하단이나 body태그 중간 등에 악성코드만 삽입하여 재업로드 하는 방식으로 이뤄지고 있습니다.
추천
0
0
댓글 9개
db 설정파일에는 ftp 정보가 없습니다.
그런데, dbconfig.php를 읽어서 무슨 재주로 ftp로 접속한다는 걸까요?
그리고 해킹하기 위해서 소스를 다운한다구요? 그거 웃음만 나오네요.
변형하고 싶은게 있으면, shell script로 얼마든지 가능한데 왜 다운을해요?
어떤 웹호스팅 회사에서 이런이야기를 하나요?
그런데, dbconfig.php를 읽어서 무슨 재주로 ftp로 접속한다는 걸까요?
그리고 해킹하기 위해서 소스를 다운한다구요? 그거 웃음만 나오네요.
변형하고 싶은게 있으면, shell script로 얼마든지 가능한데 왜 다운을해요?
어떤 웹호스팅 회사에서 이런이야기를 하나요?
호스팅사에서 말했던 다운/재업로드 방식이 어느정도 맞는 말이기는 합니다..
다만, '아'다르고 '어'다르다는 그런 느낌?;;
해킹을 당한 해당 서버에서 ftp로그를 보면 -i, -o 두가지 구분으로 파일을 열고 저장된 로그가 남게 되죠..
즉, 들쭉날쭉 아이피로 수십개 파일을 열고 저장한 흔적이 남게 됩니다.
파일을 연다는 것은 다운로드를 의미하고 파일을 저장한다는 것은 업로드를 의미합니다.
악성코드삽입 해킹(iframe삽입)은 보통 이렇게 이뤄집니다.
저 역시 수십개 사이트 해킹건으로 ftp로그 붙들고 추적하여 해킹 된 개별파일 복구하기 급급했던 시절이;;
일단 당하면 ftp접속 비밀번호를 먼저 바꾸는게 우선입니다.
다만, '아'다르고 '어'다르다는 그런 느낌?;;
해킹을 당한 해당 서버에서 ftp로그를 보면 -i, -o 두가지 구분으로 파일을 열고 저장된 로그가 남게 되죠..
즉, 들쭉날쭉 아이피로 수십개 파일을 열고 저장한 흔적이 남게 됩니다.
파일을 연다는 것은 다운로드를 의미하고 파일을 저장한다는 것은 업로드를 의미합니다.
악성코드삽입 해킹(iframe삽입)은 보통 이렇게 이뤄집니다.
저 역시 수십개 사이트 해킹건으로 ftp로그 붙들고 추적하여 해킹 된 개별파일 복구하기 급급했던 시절이;;
일단 당하면 ftp접속 비밀번호를 먼저 바꾸는게 우선입니다.
아 근데 dbconfig.php에서 ftp접속정보를;;;
이건 말도 안되는 소리구요^^;;
이건 말도 안되는 소리구요^^;;
dbconfig.php 와 ftp 계정은 거의 80%이상 일치합니다.
또한 dbconfig.php 파일의 위치가 호스팅 마다 동일합니다.
계정 하나가 뚫리면, 동일서버에서 호스팅받고 있는 대부분의 사용자 ftp 정보를 알수 있게 되는거죠.
또한 그누보드4를 설치할때, 설치 디렉토리 퍼미션을 777 또는 707 로 변경하여 설치하도록 하고 있는데, 반드시 설치후에는 퍼미션 조정을 해야 합니다.( 안하는 사람도 많을거라 생각합니다)
또한 dbconfig.php 파일의 위치가 호스팅 마다 동일합니다.
계정 하나가 뚫리면, 동일서버에서 호스팅받고 있는 대부분의 사용자 ftp 정보를 알수 있게 되는거죠.
또한 그누보드4를 설치할때, 설치 디렉토리 퍼미션을 777 또는 707 로 변경하여 설치하도록 하고 있는데, 반드시 설치후에는 퍼미션 조정을 해야 합니다.( 안하는 사람도 많을거라 생각합니다)
지난달에 phpMyAdmin을 이용한 해킹을 당했었는데요
phpmyadmin의 구버젼 config.php를 가지고 root kit을
올려서 db 정보와 ftp 정보를 빼가더라구요.
root kit이 안먹어서 root는 안빼았겼지만, db는 노출됬어요.
ftp log는 아주 깨끗하고 secure 로그도 깨끗하고 apache 로그를
뒤져서 어디서 해킹했는지 찾았어요
(물론 제가 안하고 hostway 담당자가요. ㅠ..ㅠ...)
그런데, db id를 가지고 ftp를 찾겠다고 엄청나게 try를 하는 바람에
서버가 늦어져서 알게된 것이죠. 뭘로 try를 했는지 secure log에도 없구.
하여간 그렇더라구요.
phpmyadmin의 구버젼 config.php를 가지고 root kit을
올려서 db 정보와 ftp 정보를 빼가더라구요.
root kit이 안먹어서 root는 안빼았겼지만, db는 노출됬어요.
ftp log는 아주 깨끗하고 secure 로그도 깨끗하고 apache 로그를
뒤져서 어디서 해킹했는지 찾았어요
(물론 제가 안하고 hostway 담당자가요. ㅠ..ㅠ...)
그런데, db id를 가지고 ftp를 찾겠다고 엄청나게 try를 하는 바람에
서버가 늦어져서 알게된 것이죠. 뭘로 try를 했는지 secure log에도 없구.
하여간 그렇더라구요.
불당님의.. 말씀 떔시 저도 그때 부랴부랴!! phpmyadmin 업뎃 했는데^^
고로 db 계정과 ftp계정의 아이디/비번을 다르게 하라는 뜻이군요.
전 이것 때문에 오늘 아침에 아파치 로그를 새로 변경하였어요.
DB 계정이랑 FTP 계정은 거의 비슷하게 하시는 분들이 많죠. ^^
아니지 같은 사람들이 대부분 일겁니다. ^^
새로운 관리체계를 좀 생각해봐야 겠습니다.
아니지 같은 사람들이 대부분 일겁니다. ^^
새로운 관리체계를 좀 생각해봐야 겠습니다.