공격 받았는데요. 패킹으로.. 막을 방법좀 부탁드려요 정보
공격 받았는데요. 패킹으로.. 막을 방법좀 부탁드려요본문
php파일 </body>바디종료 앞에 삽입되는데요
<script>String.prototype.asd=function( .....,34-o,125-o,11-o,11-o,11-o......
이런식.. 언팩해서 보니까
//eval
asdvds
홈페이지에 한 30페이지가량 찾아서 지웠는데 재발 방지방법좀 알려주세요.
ㅜㅜ
<script>String.prototype.asd=function( .....,34-o,125-o,11-o,11-o,11-o......
이런식.. 언팩해서 보니까
//eval
asdvds
홈페이지에 한 30페이지가량 찾아서 지웠는데 재발 방지방법좀 알려주세요.
ㅜㅜ
댓글 전체
네트워크 접속이 가능한상태라면 nmap 으로 스캔해서 공격오는 IP 를 드랍하세요
접속로그가있긴한데.. 누가 공격하는지 알방법이..ㄷㄷ
우선 패치전까진 국내망 접근만 허용하도록 조치하시는게 좋을듯하네요. 저도 해당과 같은 사례를 분석해보면 전부 해외망이더라구요. 요상하게도 터키, 베트남..등등
이후 해당 루트차단을위해서 파일변조가 가능한 것을 모두 블럭시키셔야 할듯합니다.
1. php.ini : allow_url_fopen = Off
2. 웹에디터 php,html,inc 등등 이미지 첨부파일부분을 통하여 해당 실행가능한 파일 업로드 제한설정
3. 파일업로드 부분도 최신버젼으로 룰정책 변경.
4. data 폴더이하에서 실행불가하도록 .htaccess 추가
==> 2,3,4 해당 패치방법은 그누보드 패치참조
그외 부수적으로 만드신 추가적인 파일 영역에서 취약한점이나 허술한것이 있는지 꼼꼼히 살펴보셔야 합니다. 또한 서버 파일 리스트 출력이 되는지 꼭 체크하시구요.
3번째 필수적으로 꼭필요한 포트가 아니면 원천 봉쇄. 추가적으로 웹방화벽 정책까지 쓰시면 좋지만 비용이 늘어나는 것이 문제니 이것은 고심해보시고 적용하면 좋을듯하네요.
또한 누가 접속한지 유추하는방법은 파일변조 공격이므로 파일업데이트 시분초를 확인후 해당 시간때에 접속한 아이피를 찾아보시면 됩니다. 혹시 해당 시간때에 접속기록이 다수 있는경우 아이피 조회를 해보시면 유독 해외 아이피가 존재할것입니다. 해당 해외 아이피가 가장 유력하다고 생각이 됩니다.
이상은 유추된 사항만 기재할것이며, 추가적으로 변수 및 전반적인 보안 업데이트가 요망되는것으로 사료됩니다.
이후 해당 루트차단을위해서 파일변조가 가능한 것을 모두 블럭시키셔야 할듯합니다.
1. php.ini : allow_url_fopen = Off
2. 웹에디터 php,html,inc 등등 이미지 첨부파일부분을 통하여 해당 실행가능한 파일 업로드 제한설정
3. 파일업로드 부분도 최신버젼으로 룰정책 변경.
4. data 폴더이하에서 실행불가하도록 .htaccess 추가
==> 2,3,4 해당 패치방법은 그누보드 패치참조
그외 부수적으로 만드신 추가적인 파일 영역에서 취약한점이나 허술한것이 있는지 꼼꼼히 살펴보셔야 합니다. 또한 서버 파일 리스트 출력이 되는지 꼭 체크하시구요.
3번째 필수적으로 꼭필요한 포트가 아니면 원천 봉쇄. 추가적으로 웹방화벽 정책까지 쓰시면 좋지만 비용이 늘어나는 것이 문제니 이것은 고심해보시고 적용하면 좋을듯하네요.
또한 누가 접속한지 유추하는방법은 파일변조 공격이므로 파일업데이트 시분초를 확인후 해당 시간때에 접속한 아이피를 찾아보시면 됩니다. 혹시 해당 시간때에 접속기록이 다수 있는경우 아이피 조회를 해보시면 유독 해외 아이피가 존재할것입니다. 해당 해외 아이피가 가장 유력하다고 생각이 됩니다.
이상은 유추된 사항만 기재할것이며, 추가적으로 변수 및 전반적인 보안 업데이트가 요망되는것으로 사료됩니다.