크래킹 피해

423,

10/22

멍멍

http://hackerschool.org

[re] 리눅스 크래킹 조언 부탁드립니다..

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_recover&no=222 [복사]

===============================================================================
>예전에 발생하였던 a.php 와 비슷한 유형의 크래킹 사고입니다..
>
>사고에 관한 로그는
>
><a href="http://plaza.snu.ac.kr/~heeya/127.69.zip"> 다운로드 </a>
>
>여기에서 다운받으실수 있습니다..
>
>citi 뱅크 피싱...
>
>리눅스 고수님들의 이 사건에 대한 원인과 추구 보안대책에 대한 서슴없는 조언 부탁드립니다..
>
>감사합니다..
===============================================================================

일단 관리하시는 서버가 어떤 방법으로 크래킹되었는지를 아는 것이 급선무인데,
해당 로그는 이미 크래킹 당한 이후의 것이므로 분석을 할 수가 없습니다.
access_log.1, access_log.2 등의 백업된 이전 로그를 링크해 주시고요.

파일 업로드가 가능한(nobody/apache에 쓰기 권한이 있는..) 디렉토리가 아닌,
웹 서버의 최상위 디렉토리 /에 add_exe.php 등의 백도어 파일이 설치된 것으로 보아
root 권한까지 탈취되었을 가능성이 큽니다.

그리고 web.da-us.citibank.com\cgi-bin\citifi\portal\updatedb.php
파일의 내용을 보면, Fishing한 계정을 anarchy_99@yahoo.com 이메일 주소로
보내는 것을 알 수 있습니다. 이 이메일 주소 사용자를 대상으로 신고를
하시면 될 듯하나, 크래커가 외국인일 경우 국내 조사 기관의 권한으로는
적발이 힘들 것으로 보입니다. (citybank.com이 Fishing 대상인 것으로 보아
외국인의 소행인 듯합니다.)

또, 로그 중 GET /~digitz/bbs/data/Animation/shell.php 부분이 보이는데,
백도어를 이 곳에도 숨겨 놓은 것으로 보이며, (혹은 이 곳에 있던 파일을
링크시켜 주신 것 같네요.) 이 파일에 접근한 IP인 195.234.130.38 또한
anarchy_99@yahoo.com 와 동일 인물로 추정됩니다. http://ripe.net/whois 에서
IP를 추적해보면, 루마니아에 해당하는 IP임을 알 수 있습니다.
(물론 프락시 서버를 이용하여 접근했을 가능성도 큽니다.)

그리고 이제 보니 add_exe.php, del_exe.php 방명록 프로그램 같네요.
이 파일들은 크래킹과 관련이 없을 거란 생각이 듭니다.

결론은 크래커를 잡는 것은 현실적으로는 힘들 것 같고요. 크래커가 설치한
백도어들을 삭제하는 것과 침투한 방법을 밝혀 패치하는 것이 중요합니다.

아마도 설치된 웹 프로그램들 중 php 파일을 업로드할 수 있는 버그가 있는
것으로 추정되며, 백도어 파일 업로드 시 digitz 디렉토리를 이용한 것으로
보아 digitz 홈페이지에 문제의 버그 프로그램이 존재하는 것 같습니다.

digitz 계정의 파일 목록을 올려주시면 어떤 프로그램인지 유추를 해드리도록
하겠습니다. (파일 목록이 노출되는 것이 찝찝하시면 비밀글로 올리시고요)

여하튼 백도어 삭제, 보안 패치 잘 수행하시길 바랍니다.

Hit : 4560 Date : 2006/06/28 07:34


soarrr	관리하는 서버는 아니구요.. 피싱사고가 발생한 컴퓨터 입니다.. shell.php 는 예전에 a.php 코드과 거의 동일 하네요...	2006/06/28
soarrr	<a href=http://plaza.snu.ac.kr/~heeya/access.log.zip target=_blank>http://plaza.snu.ac.kr/~heeya/access.log.zip</a> 올려놓았습니다..	2006/06/28
soarrr	로그가 더 필요하시다면 말씀해주세요.. 여러모로 관심과 도움 감사합니다..	2006/06/28
soarrr	add_exe.php 에 뭔가 심어져 있었나요? 코드를 확인해봐도 단순 웹에서 사용되는 게시물 등록 코드 같던데..	2006/06/28
soarrr	이미 해당 파일을 삭제한 상태라.. 웹쪽 취약점점검을 한번 해봐야겠네요.. 매번 고맙습니다 멍멍님..	2006/06/28
soarrr	<a href=http://bacchus.snucse.org/~digitz/bbs target=_blank>http://bacchus.snucse.org/~digitz/bbs</a> "bbs" 를 보니 777 이네요.. -_-	2006/06/28
soarrr	bbs/data 는 707....	2006/06/28
soarrr	data 안에 또다른 777 로 __zbSessionTMP 라는 폴더가 있는데 어떤용도로 사용되는 폴더인가요?	2006/06/28
soarrr	폴더안의 php 파일을 하나 열어보니 <?/* 14 1092115512 */?> 간단한 php 코드만 남아있습니다..	2006/06/28
멍멍	bbs는 777인 경우가 종종 있습니다. (config.php 파일 생성을 위해서 관리자가 이렇게 설정하곤 합니다.)	2006/06/28
멍멍	data 역시 707이 정상이 맞고요.	2006/06/28
멍멍	__zbSessionTMP는 사용자의 로그인 정보를 저장하는 디렉토리며, 위와 같은 형태의 정보가 저장되는 게 맞습니다.	2006/06/28
멍멍	새 글을 올렸으니 한번 봐주세요.	2006/06/28
bhk001	195.234.130.38 이 아이피 내 컴에서도 많이 발견되던데?? 혹시 나 컴도 해킹당하고 있는 건가? 아무리 검사해도 백도어나 버그는 없다고 나오는데--;;	2006/07/17