해킹 관련 질문 드립니다 ㅠㅠ
본문
얼마 전 관리자 아이디와 패스워드를 해킹당해 홈페이지가 털린 일이 있었습니다.
이후 관리자 페이지 접속 시 제 IP만 접속이 가능하게 변경하였고 OTP 설정도 걸었습니다.
그런데 방금도 해킹범이 관리자 아이디를 해킹하여 접속하였습니다.
관리자 아이디도 새로 만들었고 비밀번호도 아예 안쓰는거로 변경했습니다.
그리고 이상한 아이디를 만든 흔적이 있는데 관리자에서 만든게 아니라 다른 방법으로 만든 것 같습니다.
휴대폰번호, 이메일 등 아무것도 없고 아이디/이름만 입력되어 있는데 접속도 하고 상품 주문도 했습니다.
권한이 1이라 주문도 안되는데 어떻게 주문한건지 모르겠습니다
답변 3
회원가입시 처리된건 register_form_update.php 파일이나 회원가입할수 있는 경로에 변수를 전달하면서 소스가 휴대폰번호 이메일 체크를 안하고 가입되는 구조라서 가능한게 아닌가 싶은데 혹시 커스텀 하면서 그런게 아닌가 싶은데 확인이 필요할듯 하며 현재 그누보드 버전이 무엇인지 확인이 필요할듯 하며
보안에 취약한 구조가 아닌지 확인이 필요할듯 보여집니다.
휴대폰 인증을 해야만 가입 가능하고 다 체크되어 있습니다. 일단 최신버전으로 업그레이드 할 예정인데 정확한 원인 파악이 필요한데 미치겠네요 ㅠ
휴대폰인증은 체크되었지만 그건 앞단에 스크립트 체크는 하더라도 등록 부분에서는 체크를 안되어 있을수 있으니 확인해 보셔야 할듯 합니다.
답변들이 다들 엉터리네요. 생각이 있으면 저런 답변을 하지는 않아야 정상이겠죠.
해킹을 당했는지는 로그를 살펴보셔야하고 해킹으로 의심된다면 추적부터 하셔야겠죠.
관리자 권한이 털렸다면 웹쉘이 설치되거나 백도어를 심어뒀겠죠.
그러면 관리자아이디의 정보 변경과 무관하게 자유롭게 입출입이 되는 거구요.
답변들이 엉터리라뇨? 이건 웹셀이 문제일수도 있고 다른 주소 유입의 문제로 해킹되는 사례도 있는데 이게 엉터리라고 생각되시나요?
그외에 방법은 여러가지 방법도 있겠지만 생각없이 답변을 단건 아닙니다.
로그 확인을 통해 해킹 원인은 찾았습니다. 일단 플라이님 말대로 최신버전업을 하고 재발방지를 위해 개발자와 상담 중 입니다.
register_form_update.php 파일이나 회원가입할수 있는 경로에 변수를 전달
이쪽으로 해킹을 할 이유가 없죠. 번거롭게 그리고 정직하게 들어갈 이유는 없거든요.
조금만 생각해보면 알 수 있는 겁니다. 웹쉘이나 백도어는 당연히 발생을 했을거구요.
로그에 남을 정도라면 커맨드 폼을 심었거나 자체 소거를 했을테구요.
얘기하신대로라면 초보자는 엄한 파일만 들여다 볼테니 플로우를 제대로 제안했어야한다는 의미입니다.