그누보드 홈페이지 파일 변조 해킹에 대한 대처방법
본문
요근래 특정사이트가 해킹되었습니다.
1차 해킹은 권한이 1인 비공개 자유게시판에 10,000개의 게시물에 의한 스크립트 코드가 게시물마다 들어간 해킹이었습니다.
모든 폴더마다 .htaccess이 있었고 내용은
이 내용으로 채워져있었습니다.
- 대응완료하였습니다(게시물삭제, 권한10으로 올림)
- 모든 폴더에 있는 .htaccess 파일 70% 정도 삭제.
그리고 14일 뒤에
2차 해킹은 사이트에 들어갔을 때 일본 웹사이트로 강제 리다이렉트되더군요..
ftp에 접속하여 루트에 있는 index.php파일을 열어보니 일본사이트로 들어가게 변조되어 있었네요.
- 대응완료 결국 index.php 파일을 바꿔주었습니다.
어떻게 들어왔는지 몰라서 3차 해킹을 어떻게 대비해야될지 고민입니다.
ftp비번도 모르는데 어떻게 index.php 파일을 변조시키고, ftp에 .htaccess파일을 넣을 수 있었을까요?
궁금증이 있습니다.
1) 현재 http에서 https로 바꾸는 것은 효과가 있나요?
2) 혹시 ftp가 뚫렸다면 비번을 바꾸면 효과가 있을까요?(어떻게 파일을 올렸는지 모릅니다)
3) 그누보드 파일을 최신판으로 덮어씌울까요?
대응방법을 알려주시면 감사하겠습니다 ㅠㅜ.
htaccess.th와
.bash_logout
.bash_profile
.bashrc
이 파일은 원래 그누보드 파일인가요? ㅎ 무슨 파일인지 몰라 지우지 못하고 있습니다. ㅎ
답변 2
파일 업로드 에서 해킹피해 입은거 같은데..
만약에 보안쪽 하시기 어려우면 서버를 이전 시켜야되요
보안관제탑 있는 서버로 해서 옮기는게 좋구요 (예를들어 서버내 툴킷 침투나 xss 공격 이런 취약점 다 파악해서 메일이나 문자로 안내해줘요~ 문제 있다고..)
웹서버 다룰줄 아시면 파일 업로드 외부로 부터 업로드 못하게 막아두시구요 php,js 등 업로드 못하게 해두세요
data 폴더 상위만 707로 하고 전부다 하지 마시고 세션 하고 캐시만 707 해두시고 나머진 755로 해주세요
그리고 사이트 https 기본으로 해야되요 ftp 든 어드민이든 비번 꼭 변경 해야되구요 어렵게 특수문자도 포함해서 변경하세요
그누보드 최신버전으로 바꿀수있으면 패치해보세요~ 근데 일부 커스텀 한게 있으면 그걸 구별해서 변경하세요
기능이 날라갈수있어요! 꼭 백업은 해두시구요
그누보드 해킹당했다면.. 일단 첨부파일(업로드된 파일들)
전체 검수해보세요. 변조된 파일 있을 가능성이 커요.
일단 권한 획득 되면 다른 어떤 작업해도 똑같이 해킹 할 수 있습니다.
* 첨부파일 전체 검수
* 변조전 그누보드(백업) 파일로 교체
* 데이터베이스 검수
.bash_logout
.bash_profile
.bashrc
파일은 linux 사용자 파일로 644 권한입니다.
