크래킹 피해

423,

1/22

멍멍

http://hackerschool.org

[re] 리눅스 크래킹 조언 부탁드립니다..

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_recover&no=222 [복사]

===============================================================================
>예전에 발생하였던 a.php 와 비슷한 유형의 크래킹 사고입니다..
>
>사고에 관한 로그는
>
><a href="http://plaza.snu.ac.kr/~heeya/127.69.zip"> 다운로드 </a>
>
>여기에서 다운받으실수 있습니다..
>
>citi 뱅크 피싱...
>
>리눅스 고수님들의 이 사건에 대한 원인과 추구 보안대책에 대한 서슴없는 조언 부탁드립니다..
>
>감사합니다..
===============================================================================

일단 관리하시는 서버가 어떤 방법으로 크래킹되었는지를 아는 것이 급선무인데,
해당 로그는 이미 크래킹 당한 이후의 것이므로 분석을 할 수가 없습니다.
access_log.1, access_log.2 등의 백업된 이전 로그를 링크해 주시고요.

파일 업로드가 가능한(nobody/apache에 쓰기 권한이 있는..) 디렉토리가 아닌,
웹 서버의 최상위 디렉토리 /에 add_exe.php 등의 백도어 파일이 설치된 것으로 보아
root 권한까지 탈취되었을 가능성이 큽니다.

그리고 web.da-us.citibank.com\cgi-bin\citifi\portal\updatedb.php
파일의 내용을 보면, Fishing한 계정을 anarchy_99@yahoo.com 이메일 주소로
보내는 것을 알 수 있습니다. 이 이메일 주소 사용자를 대상으로 신고를
하시면 될 듯하나, 크래커가 외국인일 경우 국내 조사 기관의 권한으로는
적발이 힘들 것으로 보입니다. (citybank.com이 Fishing 대상인 것으로 보아
외국인의 소행인 듯합니다.)

또, 로그 중 GET /~digitz/bbs/data/Animation/shell.php 부분이 보이는데,
백도어를 이 곳에도 숨겨 놓은 것으로 보이며, (혹은 이 곳에 있던 파일을
링크시켜 주신 것 같네요.) 이 파일에 접근한 IP인 195.234.130.38 또한
anarchy_99@yahoo.com 와 동일 인물로 추정됩니다. http://ripe.net/whois 에서
IP를 추적해보면, 루마니아에 해당하는 IP임을 알 수 있습니다.
(물론 프락시 서버를 이용하여 접근했을 가능성도 큽니다.)

그리고 이제 보니 add_exe.php, del_exe.php 방명록 프로그램 같네요.
이 파일들은 크래킹과 관련이 없을 거란 생각이 듭니다.

결론은 크래커를 잡는 것은 현실적으로는 힘들 것 같고요. 크래커가 설치한
백도어들을 삭제하는 것과 침투한 방법을 밝혀 패치하는 것이 중요합니다.

아마도 설치된 웹 프로그램들 중 php 파일을 업로드할 수 있는 버그가 있는
것으로 추정되며, 백도어 파일 업로드 시 digitz 디렉토리를 이용한 것으로
보아 digitz 홈페이지에 문제의 버그 프로그램이 존재하는 것 같습니다.

digitz 계정의 파일 목록을 올려주시면 어떤 프로그램인지 유추를 해드리도록
하겠습니다. (파일 목록이 노출되는 것이 찝찝하시면 비밀글로 올리시고요)

여하튼 백도어 삭제, 보안 패치 잘 수행하시길 바랍니다.

Hit : 4614 Date : 2006/06/28 07:34


soarrr	관리하는 서버는 아니구요.. 피싱사고가 발생한 컴퓨터 입니다.. shell.php 는 예전에 a.php 코드과 거의 동일 하네요...	2006/06/28
soarrr	<a href=http://plaza.snu.ac.kr/~heeya/access.log.zip target=_blank>http://plaza.snu.ac.kr/~heeya/access.log.zip</a> 올려놓았습니다..	2006/06/28
soarrr	로그가 더 필요하시다면 말씀해주세요.. 여러모로 관심과 도움 감사합니다..	2006/06/28
soarrr	add_exe.php 에 뭔가 심어져 있었나요? 코드를 확인해봐도 단순 웹에서 사용되는 게시물 등록 코드 같던데..	2006/06/28
soarrr	이미 해당 파일을 삭제한 상태라.. 웹쪽 취약점점검을 한번 해봐야겠네요.. 매번 고맙습니다 멍멍님..	2006/06/28
soarrr	<a href=http://bacchus.snucse.org/~digitz/bbs target=_blank>http://bacchus.snucse.org/~digitz/bbs</a> "bbs" 를 보니 777 이네요.. -_-	2006/06/28
soarrr	bbs/data 는 707....	2006/06/28
soarrr	data 안에 또다른 777 로 __zbSessionTMP 라는 폴더가 있는데 어떤용도로 사용되는 폴더인가요?	2006/06/28
soarrr	폴더안의 php 파일을 하나 열어보니 <?/* 14 1092115512 */?> 간단한 php 코드만 남아있습니다..	2006/06/28
멍멍	bbs는 777인 경우가 종종 있습니다. (config.php 파일 생성을 위해서 관리자가 이렇게 설정하곤 합니다.)	2006/06/28
멍멍	data 역시 707이 정상이 맞고요.	2006/06/28
멍멍	__zbSessionTMP는 사용자의 로그인 정보를 저장하는 디렉토리며, 위와 같은 형태의 정보가 저장되는 게 맞습니다.	2006/06/28
멍멍	새 글을 올렸으니 한번 봐주세요.	2006/06/28
bhk001	195.234.130.38 이 아이피 내 컴에서도 많이 발견되던데?? 혹시 나 컴도 해킹당하고 있는 건가? 아무리 검사해도 백도어나 버그는 없다고 나오는데--;;	2006/07/17

423

리눅스 시스템 해킹을 배우고싶은 컴공2개월 새내기입니다[9]

morieye

01/10

3457

422

마이쿼리 해킹

dlaudgkr

12/07

5503

421

와이파이 해킹[1]

LK7C SINEAD

09/17

3948

420

DB 가 해킹당했습니다.[5]

gilm1209

11/26

4192

419

이런 경우 아이디해킹 스팸으로 공격하면 안되는 건가요?[2]

writed

07/21

3646

418

개인 pc 보안점검 관련해서[1]

braveman2

08/06

3766

417

어느 질문방에 올려야 되는지 몰라서요~ 고수님들 도움부탁드려요~[1]

osssy

05/18

3277

416

해킹당한건지 아닌건지 확실하게 아는 방법 없나요?[2]

juh11

05/17

3906

415

windows2003 라우팅및 원격 액세스 해킹[1]

geneve27

04/26

5293

414

모르는 ip가 접근해왔는데 좀 봐주세요[4]

Gloverman

01/09

6157

413

해킹한다고 문자가 왔는데요[9]

yakida1940

10/03

4921

412

해킹당한거같아요[3]

dmscks1

07/15

4267

411

제가 .. 해커 한테 당했는데요 .. 지금 IP 도 따인 상태라 마우스랑 키보드가 ..[7]

zjafkays

07/06

5380

410

해킹을 당한것 같아요.....[5]

gkswls123

06/22

4521

409

도와주세요 ㅠㅠ[2]

wnm1234

05/17

4032

408

도와주세요.[2]

sdc04303

05/07

4905

407

여기에 써도 되는지 모르겠는데요 www.xindpkz.com 이것 때문에요 내용있습니다.[4]

nmy89

04/10

5899

406

Gmail을 해킹당해서 사용하지 못하고 있습니다.[3]

hoaxinh

02/07

5138

405

ㅠㅠㅠ[5]

씨에르

01/30

4428

404

아는 누님께서 스토킹(?)당하시는 듯 한데요..[3]

dokokou

01/22

6058

1 [2][3][4][5][6][7][8][9][10]..[22]