드디어 iframe 삽입 공격을 해결했습니다. > 자유게시판

자유게시판

출석체크 십년전오늘 포인트가위바위보 포인트야구게임

드디어 iframe 삽입 공격을 해결했습니다. 정보

드디어 iframe 삽입 공격을 해결했습니다.

본문


그동안 끈질기게 저를 괴롭히던 악성코드 삽입 문제를 서버를 구입하고 웹 취약점 점검 서비스를 받아서 겨우 해결했네요.

그누 회원분들이 앞으로 비슷한 일을 당할 경우 조금이라도 도움이 되고자 글을 써봅니다.

------------

시작은 다른 웹페이지 변조 사례와 같습니다.

우선 바이러스등으로 ftp 접속 비밀번호를 알아냅니다.

그리고 서버에 접속 후 웹셀 프로그램 업로드 합니다.-_-
사용자가 바이러스 삭제 혹은 비밀번호 변경을 하면 다시 접속을 할 수 없으니 웹셀을 올려서 나중에도 계속해서 공격을 가능하게 합니다.
서버에 백도어 프로그램을 깔아놓은 줄 알고 서버까지 바꿨는데 웹셀이었습니다;;;
저의 경우 웹셀프로그램을 /gnuboard/data/member/main.php 로 올려놨더군요.

그래서 삭제했습니다.

그동안 iframe 삽입 공격에 관해서 이런저런 곳에 질문하면서 가장 많이 들은 답변들입니다.
1.바이러스 검사하세요.
2.ftp 비밀번호 변경하세요.
3.ftp 접속 ip제한하세요.
4.루트킷 프로그램 찾아서 지우세요.
5.계정 변경하세요.

이중에서 해결법은 없었네요.

이제 해결을 했으니 1,3번으로 재발하지 않도록 예방을 단단히 해야겠습니다.

-----------------------------------------------

그동안 넥스트라인이 좋다고 많은 분들이 추천을 해주셨는데 다 이유가 있군요.
퀵메일로 문의하면 5분안에 확인하고 전화해주시고, n매니저로 간단하게 계정세팅이랑 백업세팅 해주고, 직원분들은 친절하게 답변해주시고 메일 답변으로 상세하게 설명해주시고

나중에 사업확장해서 서버 한대 더 장만하면 통큰으로 해볼까 생각했었는데 그냥 넥스트라인으로 한대 더 주문해야겠습니다^^













추천
0
  • 복사

댓글 4개

루시올라 홈페이지 자기소개 아이디로 검색 회원게시물
(218.♡.♡.167)
10.03.26 22:29:13
헐...이제보니 파일 권한이 nobody 4294967295네요.
그럼 ftp로 올린게 아니라는건데 member디렉토리에 파일 올릴수 있나요?
아빠불당 홈페이지 자기소개 아이디로 검색 회원게시물
(211.♡.♡.201)
10.03.27 02:34:17
4.루트킷 프로그램 찾아서 지우세요

--> 웹쉘도 일종의 rootkit 입니다.

이미지 파일을 업로드 할 때, 그게 진짜 이미지파일인지 체크하셔야 합니다.
불당팩 또는 최근 버젼 그누보드의 write_update.php를 보면 이미지 파일을
읽어서 그게 뭔지 파악을 해서 아니면 튕겨 버리게 해뒀습니다.
sjsjin 자기소개 아이디로 검색 회원게시물
(58.♡.♡.72)
10.03.27 07:16:15
그누보드 보안관련 특정패턴으로 몇 가지 테스트를 해보려고 시간을 내려는데 잘 안되는군요..
몸도 안좋고..;;
아래 사항을 참고 하십시오.

# 가장중요한 것은 1차적으로 업로드가능 파일 확장자 제한입니다.
완전한 차단은 안되지만 기본입니다.

1. 업로드 디렉토리에(모든 업로드가능 디렉토리) .htaccess 파일이 있다면 삭제 하십시오. (또는 임의적으로 특정형태로 사용하는 경우 절대 업로드 가능 디렉토리에 두지 마십시오.)

2. KISA 에서 배포하는 휘슬러를 반드시 설치하여 사용하시길 권장 합니다.
(NT/LINUX 계열 모두 지원하며 웹셀에 대한 리서치 능력은 상당히 좋습니다.)

이 정도만 해도 왠만한 웹셀 공격은 충분한 방어가 될것으로 생각됩니다.
목록
문의 PC 버전
© SIRSOFT
현재 페이지 제일 처음으로