몇일전부터 계속 서버해킹이 되는거같은데 아이구...ㅡㅜ 정보
몇일전부터 계속 서버해킹이 되는거같은데 아이구...ㅡㅜ
본문
10일경인가 home.php라는 이상한 파일이생겨서 들여다봤더니 웹쉘인듯하더군요.
일단 지우고 업체통해 점검받았는데 별다른 문제는 없다는 대답...
그날이후부터 2M안쪽이던 수신트래픽이 맥시멈까지 자주 올라가네요..
/tmp 쪽에는 지우면 계속 파일이 생겨나구요.
txt파일인데 대충 내용이
#!/usr/bin/perl -w
# Simple Shell Uploader via LFI Bugz
use HTTP::Request;
use LWP::UserAgent;
use IO::Socket;
if (@ARGV != 3) { print "\n [!] perl $0 <host> <path> <bug>\n"; exit(); }
$host = $ARGV[0];
$path = $ARGV[1];
$lfibug = $ARGV[2];
$environ = '../../../../../../../../../../../../../../../proc/self/environ%00';
뭐 이런식입니다..
이거 서버업체에서 여러차례 점검을해도 못잡아내던데...해결방법이 있나요?
의뢰를 해서라도 어떻게든 해결을 하고싶습니다 ㅡㅜ
댓글 전체
tmp 같은경우에는 제대로 필터링이 안될수도 있습니다.
아무나 쓸수 있다는 것 때문이죠.
이런거는 서버를 내려두고 원인이 되는 파일을 순수 손으로 찾아내야합니다.
아무나 쓸수 있다는 것 때문이죠.
이런거는 서버를 내려두고 원인이 되는 파일을 순수 손으로 찾아내야합니다.
음.. tmp 폴더에 이상한 화일이 생성되서 실행까지 된다면....
tmp에서 실행 못시키게 하면됩니당....
/etc/fstab 에 보시면 해당 폴더들 실행권한을 줄수가 있는데요....
LABEL=/tmp /tmp ext3 defaults,noexec,nosuid
요렇게만 해줘도 실행안되고, id또한 만들 수 없습니다.
급한대로 요렇게 한번 설정해보시구요....
웹셀 업로드를 해놨다는건... 웹취약성중에서 특히 퍼미션 문제가 가장 큽니다.
업로드되어진 해당폴더 퍼미션 조정을 한번 해보세여.....
tmp에서 실행 못시키게 하면됩니당....
/etc/fstab 에 보시면 해당 폴더들 실행권한을 줄수가 있는데요....
LABEL=/tmp /tmp ext3 defaults,noexec,nosuid
요렇게만 해줘도 실행안되고, id또한 만들 수 없습니다.
급한대로 요렇게 한번 설정해보시구요....
웹셀 업로드를 해놨다는건... 웹취약성중에서 특히 퍼미션 문제가 가장 큽니다.
업로드되어진 해당폴더 퍼미션 조정을 한번 해보세여.....
