사이트 운영중 보안관련 질문입니다 .
본문
사이트 운영중에 갑작스레 dbconfig.php 가 삭제되어 확인해보니
data 폴더에 모든파일 그리고 mysql 데이터베이스가 싹 삭제되었습니다 .
어떤이유로 뚫린건지 모르겠지만 추측은 1. sql 인젝션 2. 웹쉘 로 추정중인데
다른방법으로도 삭제가 가능할까요 이전에 어느글에서 본것이 있는데 ,
스마트에디터2 취약점으로 dbconfig.php를 지울수 있더라구요 (이미 오래전패치됨) 이미 패치된 버전이기도 하고 혹시 다른 취약점이 터지는건지 .. 어디를 막아야 하나요
복구하면 또털리고 그럽니다 ..
그누 버전 5.3.3.3 에 아미나 1.8.33
G5.4.2.2/YC 5.4.2.2 패치 반영
답변 2
웹쉘일 가능성이 있다고 보여지고..
관련해서 조치해야할 부분은..
1) php.ini 설정에서 allow_url_fopen 을 off 로 해야 됩니다.
php.ini 설정 수정 후 웹서버 (apache 또는 nginx) 재시작 필요
2) 그누보드에서는 data 폴더만 707 이어야 됩니다. 웹루트나 다른 폴더 중 707인 것이 있는지 확인후 755로 변경해 주어야 됩니다.
3) data 폴더에는 첨부파일 등이 올라가는 폴더이고, php 파일이 실행되어서는 안됩니다.
data 폴더 이하에서 php 실행이 되지 않도록 조치를 해줄 수 있습니다.
nginx 웹서버인 경우 다음의 설정을 추가해서 재시작하면 됩니다. apache 는 잘 모릅니다.
location ~ /data/.*\.php$ {
return 403;
}
가장 좋은건 자기 자신의 아이피에서만 접속 가능하게 하면 되는데요
