<기분개떡>IDC직원한테 잡혀서 크래킹당한 컴터 복구해주고 왔습니다. orz

오리주둥이의 이미지

하루가 괴로웠습니다. ㅠ.ㅠ
shv5라는 백도어에 감염된 서버를 복구해주고 왔습니다.
사실 복구는 아니고 임시방편으로 살려만 놓고 왔습니다.

문제는.. IDC 관리자한테 서버를 밀고 새로 깔라고 말을 했건만 말이 안통하더군요.
" 내가 왜 서버 호스팅 받는 업체에 그렇게까지 해야 하냐 " 였습니다.

" 그럼 나는 왜 니네 고객 서버 해킹을 내가 해결해야 하냐 " 라는 생각도 들더군요.

하지만.. 코로케이션 비용을 못내고 있는터라 기쁜마음으로 삽질하다가 왔습니다. OTL

제가 알아봤자 IDC 직원보다 잘알겠습니까? ㅠ.ㅠ
이건 횡포입니다!!!!!!!!!! -_-+++

크래킹 당한 서버는 비영리단체의 서버였고, 제로보드를 사용하고 있었습니다.

제로보드는 최신버젼 (pl7)을 사용하고 있었구요.

문제가 터진곳은 skin 디렉토리의 zboard_vote/error.php 였습니다.

그리고 개인적으로 테스트를 해본 결과 동일 디렉토리 내의 login.php역시 문제없이 뚫리더군요.

그외에 다른 파일은 테스트 못해보았습니다.

혹시 제로보드를 사용하시는 분들 중에 투표관련으로 사용하시지 않으시다면 zboard-vote 디렉토리는 연습없이 삭제해주세요.

로그를 뒤져보니 한숨밖에 안나왔고, 여기에 다 적지는 못합니다만
문제가 심각하더군요.

무차별 대입형식으로 뚫으려고 했던 탓인지 phpbb 디렉토리도 찾더군요. -_-; ( 그만큼 많이 사용한다는 반증이겠죠 )
그외에 아주 흔한 admin에 관련된 단어는( 물론 디렉토리겠죠. -_-; ) access.log에 뒤져보니 뚫으려는 시도가 어마어마 하더군요.

귀차니즘에 오늘 있었던 일을 다 적지는 못합니다만 shv5 백도어가 설치되었을때 특징 중 하나가
pstree와 ifconfig 파일을 감염시키더라구요.
( 복구 시킨 뒤 동일하게 모의로 동일한 백도어를 심고나니 위의 두 파일이 다시 감염되었습니다. chrootkit으로 체크하였습니다. )
hide 된 디렉토리를 찾아내어 삭제를 하려 하여도 삭제가 안되었습니다. (attr 확인을 해보았습니다.)
그래서 일부러 모의테스트겸 동일 백도어를 ID, port를 바꾼 채 설치하였구요.( 동일 위치에 설치된다는 가정하에)

오늘 답답한 것 중 하나는... IDC직원이 저한테 도움을 청한다는것 이었습니다.
제가 가르치는게 맞다고 보세요? 모르는 명령어가 수두룩 한 제가요? -_-
맨날 물어보면 검색해보세요 하던 그 분이 말이죠 -_-+++

--------------------------------------------------------------------------------------------------------------------------------------

술먹고 글을 과격하게 적고나서 보니 섬찟하더군요.
혹시 모 IDC의 그 직원분이 이 글을 보면 어쩌나 하는 생각에요. ( 연체는 무서운것이랍니다. 여러분. )

아, 물론 그 분이 즐겨 사용하시는 아이디는 검색결과 없긴 하였습니다만... -_-;

그래서 너무나 순화할 수 있는 방향으로 글을 편집하였습니다.
편집전에 네 분 이 읽으셨던데 다시 읽으시게 되면 가증스러운 놈이라 비웃고 넘어가 주시면 감사하겠습니다. ㅠ.ㅠ

P/S 혹시나 그 분이 이곳의 회원이시고 이 글을 읽으신다면... " 농담인거 아시죠? "

불꽃오리의 이미지

나 다림질 20년...누구보다 다림질 잘하고 세탁소도 차렸다.
손님 옷에 이물질이 뭍었다.
셋방사람이 놀러왔다.
손님 옷에 뭍은 이물질을 보여줬다.
셋방사람이 제거방법을 알 고 있었다.
시켰다. - 이유? 귀찮아서 ㅡ.ㅡ;
셋방사람 제거 잘하고 가더라.

이상 음모론...

세계 최고의 OS 개발자 - 오리
KLDP 가입시 해야 할 일
목표 : 세계정복
'X-MAS, 석탄일을 평일로 한글날과 오리의날을 국가공휴일로 만들자.'

오리주둥이의 이미지

불꽃오리 wrote:
이상 음모론...

너무 야한 이론이군요!!

lacovnk의 이미지

당장 zero_vote 모두 지워버렸습니다 (음하하)

방학 내에 서버에서 제로보드 퇴출할 예정입니다.

다중 사용자 지원하는 tattertools로 꼬시고 있습니다 -o-; 아니면 gr보드나..
http://sirini.net/v16/grboard.php

gurugio의 이미지

제가 오늘 제로보드 문제로 호스팅쪽에 연락해서

복구 서비스를 받았는데 혹시 관련이 있을지도 모르겠네요...

그렇다면 정말 죄송합니다.

제가 땜쟁이에 가까운 쪽이라 웹은 전혀 몰라서 그런거랍니다..

웹하셨던분께 얼른 연락해서 시키는대로 패치도 했는데

지금 새로 활동하게 된 운영자분께서

kldp-people로 옮기고 phpbb로 이전하고 있으니

앞으로는 그런 문제가 없을 겁니다...없길 바랍니다..

kirrie의 이미지

한때 문제가 되었던 include 관련 문제인듯 하군요..

이 문제로 한번 패치가 이뤄졌던 것으로 기억하는데, 왜 아직도 이런 코드가 남아 있는지.. 참.. -_-;;

(register_globals와 allow_url_fopen이 모두 off로 되어 있으면 위험하진 않지만..)

--->
데비안 & 우분투로 대동단결!

오리주둥이의 이미지

kirrie wrote:
한때 문제가 되었던 include 관련 문제인듯 하군요..

이 문제로 한번 패치가 이뤄졌던 것으로 기억하는데, 왜 아직도 이런 코드가 남아 있는지.. 참.. -_-;;

(register_globals와 allow_url_fopen이 모두 off로 되어 있으면 위험하진 않지만..)

register_globals 를 Off 시켜버리면 그 전에 On 인 상태에서 개발된 모든
게시판이나 그외의 프로그램들이 에러가 나서...
이미 늦었다가 되는거죠.

게다가 테스트 해본 결과로는 Off 상태에서 제로보드를 설치해를 해보아도 에러가 나더군요.
확실한 테스트는 아니라 뭐라 말씀드리지 못하지만.

아마도 이런 여러가지 문제로 업체들은 On으로 하고 많이 사용하는것 같습니다.

Off 시키면 개발자들도 짜증은 많이 나지요. 으흐흐흐.. ( 사악한 웃음 )