cheditor 업로드 취약점으로 추정되는 공격을 당했습니다. 정보
cheditor 업로드 취약점으로 추정되는 공격을 당했습니다.본문
배추스킨에 장착된 cheditor 업로드 경로로 올라온 것으로 추정되는 웹셀이 발견되었습니다.
이 웹셀 덕분에 현재 엄청난 파일에 전부 iframe 삽입 코드가 씌워져 있네요 ㅠㅠ
웹셀의 이름은 Spider-PHP-Shell (SPS 3.0) 이었습니다.
현재 사이트 서버의 설정에서 function 을 많이 막아놨는데도 파일 추가, 삭제, 수정이 너무나 자유롭게 되더라구요..
추천
0
0
댓글 6개
음.. 저걸 모두 막았지만 저 웹셀은 정상적으로 아주 잘 동작하더라구요.. ㅠㅠ 아니면 이 함수들은 웹셀과는 상관없는 것들인가요?
cheditor 버전이 어떻게 되나요?
근본적인 해결책은 아니겠지만 서버에 mod_security2 가 설치되어 있다면 그곳에서 ( php 업로드와 사용 등...) 보안 설정 해 보세요.
근본적인 해결책은 아니겠지만 서버에 mod_security2 가 설치되어 있다면 그곳에서 ( php 업로드와 사용 등...) 보안 설정 해 보세요.
전 서버 설정으로 data폴더애 들어간 php 파일은 실행시 코드가 보여버리게 해놨는데...
저녁에 팁 올릴께요.
저녁에 팁 올릴께요.
저도 data폴더는 확장자만 기준으로 실행을 막긴했는데 좋은 힌트 부탁드리겠습니다.
배추빌더이므로 cheditor4일테고 테스트해보니 php파일이 업로드가 가능합니다. 다만 이름이 랜덤으로 바뀌고 확장자가 없어졌다는 것외에는...
그리고 그 경로까지 알 수 있으니 문제가 되겠는데요...
cheditor5는 getimagesize에서 에러나면 바로 삭제를 해버리니까 문제가 되지 않지만 cheditor4는 삭제를 하지 않는게 문제네요.
근데 더 궁금한 것은 위의 스크린 샷에 올라와 있는 이미지 파일 이름과 php파일 이름이 끝에 한자만 빼고 같다는 것과 날짜가 틀리다는 점...
그리고 그 경로까지 알 수 있으니 문제가 되겠는데요...
cheditor5는 getimagesize에서 에러나면 바로 삭제를 해버리니까 문제가 되지 않지만 cheditor4는 삭제를 하지 않는게 문제네요.
근데 더 궁금한 것은 위의 스크린 샷에 올라와 있는 이미지 파일 이름과 php파일 이름이 끝에 한자만 빼고 같다는 것과 날짜가 틀리다는 점...
