저희서버에 해킹프로그램 그런게 심어져있다고 하던데요 정보
저희서버에 해킹프로그램 그런게 심어져있다고 하던데요본문
저희서버에 해킹프로그램 그런게 심어져있다고 하던데요
인터넷으로 그 파일을 실행하면 윈도우탐색기처럼 서버를 돌아다니면 모든걸 할수있게 되있더라구요
그래서 삭제를 했는데 이곳저곳에 있어서 어떻게 할수가 없습니다.
매일아침 출근하면 log 란 파일명을 삭제해서 로고파일 로그인 파일 이거 미치겠습니다 ㅠㅠ
이거 어떻게 처리해야 할까요 사이버수사대도 자기쪽에서 안한다고하고 사설업체에 문의하라는데 사설업체 검색도 안되고 이런일 격으셨던분 계시;ㄴ가요 ?? 해결방안좀 알려주세요.... 너무 힘이 듭니다 ㅠㅠ
추천
0
0
댓글 13개
01. find 명령활용
find [경로 - 절대경로가능] -mtime -1 ! \( -type d -path '*[폴더명]*' -prune \) -ls
- 조건 : [폴더명]을 제외하고, 1일전부터 지금까지 변경된 파일이 있는 경로의 목록을 출력.
find [디렉토리경로] -name '[검사할확장자]' | xargs grep '[검사할단어]'
- 조건 : [검사할단어]가 포함되어있는 [검사할확장자or파일]을 [디렉토리경로]에서 검색
(출처 : 내홈페이지 )
02. 캐슬설치하세요. (개인/기업 무료)
http://krcert.or.kr/kor/webprotect/webprotect_03.jsp
03. 서버사용하신다면 휘슬도 함께 설치하세요.
(개인/기업 무료 , 설치신청은 전화문의 또는 메일로 하시면 다운로드 링크를 메일로 보내주더군요)
http://krcert.or.kr/kor/webprotect/webprotect_02.jsp
find [경로 - 절대경로가능] -mtime -1 ! \( -type d -path '*[폴더명]*' -prune \) -ls
- 조건 : [폴더명]을 제외하고, 1일전부터 지금까지 변경된 파일이 있는 경로의 목록을 출력.
find [디렉토리경로] -name '[검사할확장자]' | xargs grep '[검사할단어]'
- 조건 : [검사할단어]가 포함되어있는 [검사할확장자or파일]을 [디렉토리경로]에서 검색
(출처 : 내홈페이지 )
02. 캐슬설치하세요. (개인/기업 무료)
http://krcert.or.kr/kor/webprotect/webprotect_03.jsp
03. 서버사용하신다면 휘슬도 함께 설치하세요.
(개인/기업 무료 , 설치신청은 전화문의 또는 메일로 하시면 다운로드 링크를 메일로 보내주더군요)
http://krcert.or.kr/kor/webprotect/webprotect_02.jsp
혹시 휘슬이나 캐슬을 php 4.3 이상 버전에서 설치해보신적 있으신지요?
잠시 테스트 해봤는데 해당 버전에서는 에러가 뿜어져 나오더군요.
일부분 변환을 해봤는데 워낙 광범위한것 같아서 그냥 냅두고 말았었습니다만...
잠시 테스트 해봤는데 해당 버전에서는 에러가 뿜어져 나오더군요.
일부분 변환을 해봤는데 워낙 광범위한것 같아서 그냥 냅두고 말았었습니다만...
오...좋은 정보 감사합니다.
그리고 파일을 검색하실때,
업로드가 가능한 폴더(퍼미션 777,755)등의 폴더에 들어가보세요. 해당폴더명과 같은 파일이 존재하고, 내가 작업한 적이 없을때엔 거의 웹쉘 파일입니다. 해킹에 주로 이용되는 툴이구요.
소스확인해보시고 무지막지하게 깨져보인다거나
(예: eval(gzinflate(base64_decode('코드')))) 형식)
라면 웹쉘입니다.
업로드가 가능한 폴더(퍼미션 777,755)등의 폴더에 들어가보세요. 해당폴더명과 같은 파일이 존재하고, 내가 작업한 적이 없을때엔 거의 웹쉘 파일입니다. 해킹에 주로 이용되는 툴이구요.
소스확인해보시고 무지막지하게 깨져보인다거나
(예: eval(gzinflate(base64_decode('코드')))) 형식)
라면 웹쉘입니다.
어떤파일이 심어져있는데요..?
봐서 가능하면 해드림....
봐서 가능하면 해드림....
스마일서브에 웹셀검사? 그런거 했더니 목록이라고 이렇게 줫는데 300개가 넘는다네요 ㅠㅠ
웹쉘 및 악성코드 로 의심되는 코드가 포함된 파일들입니다.
=====================================================================
[1 Found] : /home/web_b/bga/www/include/album/db/create_table.html
[1 Found] : /home/web_n/nkgulag/www/include/video/db/create_table.html
[1 Found] : /home/web_p/pohangcalvary/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_m/micschool/www/include/gallery/admin/db/change_field..php
[1 Found] : /home/web_s/sos91/www/include/album/db/create_table.html
[1 Found] : /home/web_s/sevensong.co.kr/www/include/video/db/create_table.html
[1 Found] : /home/web_n/nkgulag/www/include/members/db/create_table.html
[1 Found] : /home/web_y/ylch/www/include/members/db/create_table.html
[1 Found] : /home/web_h/holysong21.com/www/bbs/data/index.php
[1 Found] : /home/web_n/nkgulag/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_b/bga/www/include/members2/db/create_table.html
[1 Found] : /home/web_s/sos91/www/include/news/admin/db/create_table.html
[1 Found] : /home/web_n/nkgulag/www/include/gallery/admin/db/change_field.php
[1 Found] : /home/web_n/newnkgulag/www/include/video/db/create_table.html
[1 Found] : /home/web_n/nkgulag/www/kchatirc/connection/gnu3/config.php
[1 Found] : /home/web_s/sevensong.co.kr/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_e/elicom/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_m/micschool/www/include/gallery_multi/admin/db/change_field.php
[1 Found] : /home/web_s/sos91/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_s/sos91/www/include/members/db/create_table.html
[1 Found] : /home/web_p/pohangcalvary/www/include/music/db/create_table.html
[1 Found] : /home/web_n/nkgulag/www/include/members/pw_search_query.php
[1 Found] : /home/web_s/sinhak/www/include/video/db/create_table.html
[1 Found] : /home/web_etc/0675.us/include/album/db/create_table.html
[1 Found] : /home/web_y/ylch/www/include/members2/db/create_table.html
[22 Found] : /home/web_m/mrho/www/board4/board/data/lol.php
[1 Found] : /home/web_s/sungku/www/include/album/db/create_table.html
[1 Found] : /home/web_c/cdntv/www/include/news/admin/db/create_table.html
[1 Found] : /home/web_c/cdntv/www/include/news/news.Php
[1 Found] : /home/web_j/jungheung/www/include/gallery_multi/admin/db/change_field.php
[1 Found] : /home/web_b/bga/www/include/product/db/create_table.html
[1 Found] : /home/web_s/sos91/www/include/gallery/admin/db/change_field.php
[1 Found] : /home/web_j/jungheung/www/include/sungdo/admin/create_board.php
[1 Found] : /home/web_n/newnkgulag/www/kchatirc/index.php
[1 Found] : /home/web_e/elicom/www/include/members/db/create_table.html
[1 Found] : /home/web_s/sinhak/www/include/news/admin/db/create_table.html
[1 Found] : /home/web_p/pohangbethel/www/include/banner/admin/db/create_table.html
[1 Found] : /home/web_e/elicom/www/include/survey/db/create_table.html
[1 Found] : /home/web_y/ych/www/include/video1_2/db/create_table.html
[1 Found] : /home/web_c/cdntv/www/include/news_choi/admin/db/create_table.html
[1 Found] : /home/web_a/anytekkorea.com/www/include/members/db/create_table..html
[1 Found] : /home/web_g/gatsem/www/include/album/db/create_table.html
[1 Found] : /home/web_c/cdntv/www/include/gallery_multi/admin/create_board.php
[1 Found] : /home/web_c/choral21/www/include/gallery/admin/db/change_field.php
[1 Found] : /home/web_g/gatsem/www/include/news/admin/db/create_table.html
[1 Found] : /home/web_s/sungku/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_m/micschool/www/include/members/db/create_table.html
[1 Found] : /home/web_k/kcmc/www/include/gallery_multi/admin/db/change_field.php
[1 Found] : /home/web_s/saesomang/www/include/survey/db/create_table.html
[1 Found] : /home/web_j/jungheung/www/include/shvideo/db/create_table.html
[3 Found] : /home/web_n/newnkgulag/www/flash/.httpd/doc/html/faqs.html
[1 Found] : /home/web_k/kcea/www/include/news/admin/db/create_table.html
[1 Found] : /home/web_k/kcmc/www/include/video1/db/create_table.html
[1 Found] : /home/web_y/ylch/www/include/news/admin/db/create_table.html
[3 Found] : /home/web_m/mrho/www/board4/board/data/pjk/doc/html/faqs.html
[1 Found] : /home/web_a/anytekkorea.com/www/include/video/db/create_table.html
[1 Found] : /home/web_k/kcea/www/include/product/db/create_table.html
[1 Found] : /home/web_a/anytekkorea.com/www/include/survey/db/create_table.html
[1 Found] : /home/web_j/jungheung/www/include/gallery_multi/admin/create_board.php
[1 Found] : /home/web_s/saesomang/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_y/ych/www/include/video_3/db/create_table.html
[1 Found] : /home/web_y/ych/www/include/gallery/admin/db/change_field.php
[1 Found] : /home/web_n/nkgulag/www/include/gallery_multi/admin/create_board.php
[1 Found] : /home/web_c/cdntv/www/include/gallery/admin/db/change_field.php
[1 Found] : /home/web_h/holysong21.com/www/bbs/data/shell.php
[1 Found] : /home/web_j/jungheung/www/include/sungdo/admin/db/change_field.php
[1 Found] : /home/web_n/newnkgulag/www/include/members/remove/db_search.php
[1 Found] : /home/web_b/bga/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_e/elicom/www/include/album/db/create_table.html
[1 Found] : /home/web_e/elicom/www/include/news_choi/admin/db/create_table.html
[1 Found] : /home/web_b/bga/www/include/members3/db/create_table.html
[1 Found] : /home/web_b/bga/www/include/music/db/create_table.html
[1 Found] : /home/web_n/nkgulag/www/include/album/db/create_table.html
[1 Found] : /home/web_s/sos91/www/include/product/db/create_table.html
[1 Found] : /home/web_j/jungheung/www/include/members/db/create_table.html
웹쉘 및 악성코드 로 의심되는 코드가 포함된 파일들입니다.
=====================================================================
[1 Found] : /home/web_b/bga/www/include/album/db/create_table.html
[1 Found] : /home/web_n/nkgulag/www/include/video/db/create_table.html
[1 Found] : /home/web_p/pohangcalvary/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_m/micschool/www/include/gallery/admin/db/change_field..php
[1 Found] : /home/web_s/sos91/www/include/album/db/create_table.html
[1 Found] : /home/web_s/sevensong.co.kr/www/include/video/db/create_table.html
[1 Found] : /home/web_n/nkgulag/www/include/members/db/create_table.html
[1 Found] : /home/web_y/ylch/www/include/members/db/create_table.html
[1 Found] : /home/web_h/holysong21.com/www/bbs/data/index.php
[1 Found] : /home/web_n/nkgulag/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_b/bga/www/include/members2/db/create_table.html
[1 Found] : /home/web_s/sos91/www/include/news/admin/db/create_table.html
[1 Found] : /home/web_n/nkgulag/www/include/gallery/admin/db/change_field.php
[1 Found] : /home/web_n/newnkgulag/www/include/video/db/create_table.html
[1 Found] : /home/web_n/nkgulag/www/kchatirc/connection/gnu3/config.php
[1 Found] : /home/web_s/sevensong.co.kr/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_e/elicom/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_m/micschool/www/include/gallery_multi/admin/db/change_field.php
[1 Found] : /home/web_s/sos91/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_s/sos91/www/include/members/db/create_table.html
[1 Found] : /home/web_p/pohangcalvary/www/include/music/db/create_table.html
[1 Found] : /home/web_n/nkgulag/www/include/members/pw_search_query.php
[1 Found] : /home/web_s/sinhak/www/include/video/db/create_table.html
[1 Found] : /home/web_etc/0675.us/include/album/db/create_table.html
[1 Found] : /home/web_y/ylch/www/include/members2/db/create_table.html
[22 Found] : /home/web_m/mrho/www/board4/board/data/lol.php
[1 Found] : /home/web_s/sungku/www/include/album/db/create_table.html
[1 Found] : /home/web_c/cdntv/www/include/news/admin/db/create_table.html
[1 Found] : /home/web_c/cdntv/www/include/news/news.Php
[1 Found] : /home/web_j/jungheung/www/include/gallery_multi/admin/db/change_field.php
[1 Found] : /home/web_b/bga/www/include/product/db/create_table.html
[1 Found] : /home/web_s/sos91/www/include/gallery/admin/db/change_field.php
[1 Found] : /home/web_j/jungheung/www/include/sungdo/admin/create_board.php
[1 Found] : /home/web_n/newnkgulag/www/kchatirc/index.php
[1 Found] : /home/web_e/elicom/www/include/members/db/create_table.html
[1 Found] : /home/web_s/sinhak/www/include/news/admin/db/create_table.html
[1 Found] : /home/web_p/pohangbethel/www/include/banner/admin/db/create_table.html
[1 Found] : /home/web_e/elicom/www/include/survey/db/create_table.html
[1 Found] : /home/web_y/ych/www/include/video1_2/db/create_table.html
[1 Found] : /home/web_c/cdntv/www/include/news_choi/admin/db/create_table.html
[1 Found] : /home/web_a/anytekkorea.com/www/include/members/db/create_table..html
[1 Found] : /home/web_g/gatsem/www/include/album/db/create_table.html
[1 Found] : /home/web_c/cdntv/www/include/gallery_multi/admin/create_board.php
[1 Found] : /home/web_c/choral21/www/include/gallery/admin/db/change_field.php
[1 Found] : /home/web_g/gatsem/www/include/news/admin/db/create_table.html
[1 Found] : /home/web_s/sungku/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_m/micschool/www/include/members/db/create_table.html
[1 Found] : /home/web_k/kcmc/www/include/gallery_multi/admin/db/change_field.php
[1 Found] : /home/web_s/saesomang/www/include/survey/db/create_table.html
[1 Found] : /home/web_j/jungheung/www/include/shvideo/db/create_table.html
[3 Found] : /home/web_n/newnkgulag/www/flash/.httpd/doc/html/faqs.html
[1 Found] : /home/web_k/kcea/www/include/news/admin/db/create_table.html
[1 Found] : /home/web_k/kcmc/www/include/video1/db/create_table.html
[1 Found] : /home/web_y/ylch/www/include/news/admin/db/create_table.html
[3 Found] : /home/web_m/mrho/www/board4/board/data/pjk/doc/html/faqs.html
[1 Found] : /home/web_a/anytekkorea.com/www/include/video/db/create_table.html
[1 Found] : /home/web_k/kcea/www/include/product/db/create_table.html
[1 Found] : /home/web_a/anytekkorea.com/www/include/survey/db/create_table.html
[1 Found] : /home/web_j/jungheung/www/include/gallery_multi/admin/create_board.php
[1 Found] : /home/web_s/saesomang/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_y/ych/www/include/video_3/db/create_table.html
[1 Found] : /home/web_y/ych/www/include/gallery/admin/db/change_field.php
[1 Found] : /home/web_n/nkgulag/www/include/gallery_multi/admin/create_board.php
[1 Found] : /home/web_c/cdntv/www/include/gallery/admin/db/change_field.php
[1 Found] : /home/web_h/holysong21.com/www/bbs/data/shell.php
[1 Found] : /home/web_j/jungheung/www/include/sungdo/admin/db/change_field.php
[1 Found] : /home/web_n/newnkgulag/www/include/members/remove/db_search.php
[1 Found] : /home/web_b/bga/www/include/gallery/admin/create_board.php
[1 Found] : /home/web_e/elicom/www/include/album/db/create_table.html
[1 Found] : /home/web_e/elicom/www/include/news_choi/admin/db/create_table.html
[1 Found] : /home/web_b/bga/www/include/members3/db/create_table.html
[1 Found] : /home/web_b/bga/www/include/music/db/create_table.html
[1 Found] : /home/web_n/nkgulag/www/include/album/db/create_table.html
[1 Found] : /home/web_s/sos91/www/include/product/db/create_table.html
[1 Found] : /home/web_j/jungheung/www/include/members/db/create_table.html
보여주신 파일은 웹쉘보단 악성코드가 깔려있는겁니다.
전에 계셨던 직원분께 여쭤보니 greate 라는 파일명때문에 잡힌거라고하던데 스마일서브측에서는
파일명때문이아니라 소스로 심어져있다고 하네요 저는 분간할 ㄴ으력이 없구요 ㅠㅠㅠ
파일명때문이아니라 소스로 심어져있다고 하네요 저는 분간할 ㄴ으력이 없구요 ㅠㅠㅠ
여러분 답변 모두 감사합니다 ㅠㅠ 휘슬이랑 캐슬 신청서는 보냇는데 메일오면 한번 사용해봐야겠어요 ㅠㅠ
엔피씨님이 말씀하신 것처럼 find 명령어로 찾는게 프로그램 돌려서 찾는 것 보다 더 자세하고 정확하게 찾을 수 있습니다.
저도 예전에 당하고 안잊어 먹으려고 써놓은 글이 남아있네요.
http://luciola.egloos.com/2599758
저도 예전에 당하고 안잊어 먹으려고 써놓은 글이 남아있네요.
http://luciola.egloos.com/2599758
이왕 올리시는거, 그 find 치환하는 법 올려주세요 굽신굽신!zz
내용을 보니 phpmyadmin 내에 있는건 무시 된다고 되어있는데 버전별로 취약점이 있기때문에 phpmyadmin 취약점도 확인을 하셔야 할거에요.
find -type f -name "*.php" -exec perl -pi -e "s/변경할문자(\(|\s)/변경될문자\1/g" "{}" \;
이런거 말씀이신지요 ??
이런거 말씀이신지요 ??