현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

아파치에 관하여 질문좀 올리겠습니다. 해킹때문에..

aodwk156의 이미지
글쓴이: aodwk156 / 작성시간: 토, 2010/01/23 - 11:02오전

66.249.68.122 - - [22/Jan/2010:18:32:40 +0900] "GET /bbs/tb.php/job_interview/368 HTTP/1.1" 302 - "-" "Mozilla/5.0 (compatible; Goog
lebot/2.1; +http://www.google.com/bot.html)"
66.249.68.122 - - [22/Jan/2010:18:32:41 +0900] "GET /bbs/board.php bo_table=job_interview&wr_id=368 HTTP/1.1" 200 23504 "-" "Mozilla
/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.68.122 - - [22/Jan/2010:18:33:18 +0900] "GET /bbs/link.php?bo_table=job_info&wr_id=787&no=2 HTTP/1.1" 200 125 "-" "Mozilla/5.
0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.68.46 - - [22/Jan/2010:18:33:19 +0900] "GET /bbs/board.php?bo_table=job_interview&wr_id=2439&sfl=&stx=&sst=wr_last&sod=desc&s
op=and&page=141 HTTP/1.1" 200 15796 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

일단 로그는 이렇습니다. 이와 같은 로그들이 수업이 계속 올라오고 있습니다.

어제 아파치를 내렸다가 올렸는데 웹이 이상한걸로 뜨더니 완전 텔넷처럼 커맨드가 가능하게끔 되었습니다. 그래서 바로 아파치 내린다음에

보고있는데.. 보안관련하여 http.conf나 조치해야 할 부분좀 알려주세요..완전 초보라..

Forums: 
설치 및 활용 QnA
trim703의 이미지

글쓴이: trim703 / 작성시간: 토, 2010/01/23 - 7:01오후

보안취약점이 수두룩한 제로보드4를 스시다가 해킹당하신 모양이군요.

아래 두 개의 커맨드 순서대로 돌려보고 생성되는 search_list 파일을 편집기로 열어 나오는 파일들 중 의심되는 소스를 찾아보시기 바랍니다.

[root@localhost:~]# find /home \( \( -user nobody \) -a \( -name "*.php" -o -name "*.html" -o -name "*.htm" -o -name "*.ph" -o -name "*.php3" -o -name "*.php4" -o -name "*.inc" \) \) | grep -v 'zbSession' > search_files
 
[root@localhost:~]# cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^exec(\" -e \"[;@[:blank:]]exec(\" -e \"^system(\" -e \"[;@[:blank:]]system(\" -e \"^mail(\" -e \"[;@[:blank:]]mail(\" -e \"^fsockopen(\" -e \"[;@[:blank:]]fsockopen(\" -e \"^HTTP_POST_FILES\" -e \"[;@[:blank:]]HTTP_POST_FILES\" -e \"^copy(\" -e \"[;@[:blank:]]copy(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list

해결을 위해선 XE로 마이그레이션하고 최소한의 기본 조치로 웹방화벽 mod_security를 설치해야 합니다.

feanor의 이미지

글쓴이: feanor / 작성시간: 토, 2010/01/23 - 7:02오후

로그를 보니 제로보드가 아니라 그누보드인 것 같은데 무슨 엉뚱한 말씀이신지?

trim703의 이미지

글쓴이: trim703 / 작성시간: 토, 2010/01/23 - 7:06오후

bbs라는 디렉토리를 보고 제로보드4로 착각했군요.
생각해보니 그누보드도 bbs죠. 그누보드 써보고도 착각했다는... ㅡ,.ㅡ;;
지적은 좀 곱게 하시지요?

opt의 이미지

글쓴이: opt / 작성시간: 월, 2010/01/25 - 10:25오전

일단 올리신 로그는 구글에서 검색 기능을 제공하기 위해 웹로봇을 통해 사이트를 방문하고 있는 것입니다.

서버가 구글의 웹로봇을 감당하지 못하는게 아닌가 싶네요.

구글에 연락해서 웹로봇의 크롤링 부하를 줄여달라고 하시거나, robots.txt를 통해 구글봇을 막으시면 되겠습니다.

----
LUX ET VERITAS | Just for Fun!

----
LUX ET VERITAS | Just for Fun!

trim703의 이미지

글쓴이: trim703 / 작성시간: 월, 2010/01/25 - 11:44오전

질문하신 분이 증상은 웹쉘 삽입으로 말씀해 놓고 로그는 검색 로봇의 흔적으로 잘못 올려 놓으신 거네요.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.