크래킹 피해

423,

10/22

멍멍

http://hackerschool.org

[re] [re] 리눅스 크래킹 조언 부탁드립니다..

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_recover&no=223 [복사]

access_log.2 의 다음 부분이 웹서버가 크래킹 당하는 과정을 보여줍니다.

다음은 주요 로그만 간추린 것입니다.

195.234.130.38 - - [15/Jun/2006:04:45:16 +0900] "GET /~digitz/bbs/zboard.php?id=Animation HTTP/1.1" 200 41516 "http://www.google.ro/search?as_q=&num=10&hl=ro&btnG=C%C4%83utare+Google&as_epq=zboard+php&as_oq=&as_eq=&lr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=url&as_dt=i&as_sitesearch=bacchus.snucse.org" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8) Gecko/20051111 Firefox/1.5"

==> 제로보드에 접근합니다.
    구글 검색을 통해 서버에 접근하였음을 알 수 있습니다. (HTTP_REFERER)
    검색어는 allinurl:  "zboard php" site:bacchus.snucse.org 입니다.
    구글 검색을 통해 제로보드가 설치된 서버를 찾은 후, bacchus.snucse.org를
    발견하여 다시 재검색한 것으로 보입니다. (혹은 처음부터 타겟으로 잡았을
    가능성도 배제할 수는 없습니다.)
    zboard.php 파일명만으로는 게시판에 접근할 수 없고, 게시판 id 값을
    알아야 하기 때문에 위와 같은 검색을 한 것 같습니다.

195.234.130.38 - - [15/Jun/2006:04:45:19 +0900] "POST /~digitz/bbs/write_ok.php HTTP/1.1" 200 174 "http://bacchus.snucse.org/~digitz/bbs/write.php?id=Animation&page=1&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=&mode=write&sn1=&divpage=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

==> 새 글을 등록합니다. 이 크래커는 계속 FireFox를 사용하다가 유독 공격
    관련 부분에서만 Explorer를 사용하는 것이 의심스러운 부분입니다.

195.234.130.38 - - [15/Jun/2006:04:45:21 +0900] "GET /~digitz/bbs/data/Animation/shell.php HTTP/1.1" 200 143 "http://bacchus.snucse.org/~digitz/bbs/zboard.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

==> 게시물 등록 후 shell.php가 생성됩니다.

195.234.130.38 - - [15/Jun/2006:04:45:23 +0900] "POST /~digitz/bbs/delete_ok.php HTTP/1.1" 200 2678 "http://bacchus.snucse.org/~digitz/bbs/delete.php?id=Animation&page=1&sn1=&divpage=1& sn=off&ss=off&sc=on&select_arrange=headnum&desc=asc&no=149" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

==> 자신이 쓴 글을 삭제합니다.

195.234.130.38 - - [15/Jun/2006:04:45:46 +0900] "GET /~digitz/bbs/data/Animation/shell.php HTTP/1.1" 200 143 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8) Gecko/20051111 Firefox/1.5"

==> 하지만 삭제했음에도 불구하고 shell.php는 남아 있습니다.

결론을 내리자면..

- 제로보드의 취약점을 이용하여 백도어 파일(shell.php)을 업로드하였습니다.

- 공격 시간이 짧고, 파일 요청 간격이 규칙적인 것으로 보아 공격 과정에서
자동화 툴을 사용하지 않았나 싶습니다. (혹은 손이 무쟈게 빠르거나..)

- php 확장자의 파일이 바로 업로드되었다는 것과 게시물 삭제 시 첨부 파일이
  남아 있는 점이 이해가 되지 않습니다. 혹시 자신만의 비공개 취약점을 이용한
  것은 아닌가 의심스럽습니다.

일단 어느 버젼의 제로보드를 사용하는지 알려주시기 바랍니다.
해당 버젼에서 위와 같은 취약점이 발생할 가능성이 있는지 알아보도록 하겠습니다.

Hit : 10098 Date : 2006/06/28 08:39


soarrr	147.46.127.69 <- 문제의 홈페이지 IP 입니다...	2006/06/28
soarrr	제로보드 설치 위치를 확인하는데 이게 어디로 링크되어 있는지 찾고있습니다만.. php 같은 확장자도 업로드가 가능한지요?	2006/06/28
멍멍	로그를 보면.. 아마도 /home/digitz/bbs/ 에 있을 겁니다.	2006/06/28
멍멍	license.txt 파일을 열어보시면 최상단에 버젼 정보가 나옵니다.	2006/06/28
멍멍	php 확장자는 기본으로 업로드가 금지되어 있습니다. 이 제한을 우회하는 어떤 공격 기술을 사용한 것 같습니다.	2006/06/28
soarrr	그렇군요.. 4.1 pl 4 (2003.8.7) 버전이네요 -_-;;	2006/06/28
soarrr	참 국내 유일의 대학생들이 이렇게 보안에 관심이 없어서야.. 난감합니다..	2006/06/28
멍멍	pl4 이후로 위와 같은 취약점이 보고된 적은 없는 것으로 알고 있습니다.	2006/06/28
멍멍	더 분석을 해보고 해결 방안을 알려드리도록 하겠습니다.	2006/06/28
멍멍	pr0sper님이나 indra님도 좀 도와주셨으면 좋겠네요.	2006/06/28
멍멍	링크해주신 관련 로그들은 다른 분들이 참고할 수 있게 당분간 삭제하지 말아주시기 바랍니다.	2006/06/28
soarrr	네.. 알겠습니다.. 정말 고맙습니다..	2006/06/28
멍멍	확인 결과 공개된 취약점(preg_replace)에 공격당한 것이었습니다. 최신 버젼의 제로보드(pl8)로 업그레이드하시면 해결되겠습니다.	2006/06/28
멍멍	그 외 추가로 설치된 백도어는 없는지 확인해 보시고요. (setuid file, rootkit, bindshell 등..)	2006/06/28
soarrr	그렇군요... 제로보드에도 자동 업데이트 기능을 넣었으면 하는 ^^ 바램이었습니다..	2006/06/28
soarrr	다른툴도 다 찾아보았지만 별다른건 없더라구요.. 수고하셨습니다.. 물론 정말 감사드리구요..	2006/06/28
pr0sp3r	이제야 보게 ㄷㅚㅆ습니다. 로그는 다운로드 되지 않는관계로.. 보지 못했습니다. 멍멍님의 댓긋을 보건데.. 제로보드 취약점을 이용한것으로 보입니다.	2006/06/28
pr0sp3r	pl8에도 발표되지 않은 xss와 sql 인젝션과 몇몇의 업로드 취약코드, 다수의 스킨 보안취약점이 있는것으로 압니다.	2006/06/28
pr0sp3r	외국에서는 php 지원에서 safe_mode 외엔 대안이 없다고 할정도입니다. 포렌식하실때 랜선부터 뽑으시는거 잊지 마세요 :)	2006/06/28
indra	윽... 저도 이제 봤습니다.. 도움이 못 되드려서 죄송하지만.. 그래도.. 멍멍님께서 잘 해결해주셨네요...^^;	2006/07/03
6Moderato	모두 고수다	2006/09/04
Petra	None	2007/06/06