해킹당했던 넘..

사건의 전말
오전 11시경 고객으로 부터 다급한 전화를 받고 사건은 시작되었습니다.

고객 출근 했더니 서버실에 전기가 하나토 안들어와요..!
전화도 안되서 밖에 나와서 전화하고 있어요..
빈둥거리던 넘 전화는 전기나간거 하고 상관 없는데요...
고객 특수 전화기예요.. 전기 나가면 통화 안되엽..
빈둥거리다 놀란넘 음..
고객 지금 컴퓨터고 서버고 되는거 하나도 없어요..
자세를 바로 잡은 넘 그럼 형광등은 들어와요?
고객 네..
비통해진 넘 서버실에는 유피에스가 있으니깐 그거 건전지 다돼서 아마 유피에수가 다운된걸 거예요..
유피에수 유지보수 업체에 전화해서 처리 하세요..
당황한 고객 하나토 안된다니깐요..그리고 유피에수 유지보수 업체 전화번호 몰라욥..
깜딱 놀란넘 음..(내가 이렇게 무식한 고객과 거래를 했꾸나..)
그럼 유피에수 앞에 서서 핸드폰으로 저한테 전화 다시 하세요..
놀란 고객 핸드폰 없어요.. 전산 담당자가 출장중이니깐 오면 다시 전화하라고 할께요..
더 놀란 넘 담당자가 몇시에 오는 데요?
진정한 고객 13시요..
허둥대는 넘 (만약에 유피에수 문제가 아니면 내가 다 뒤집어 쓴당...)
아.. 그럼 그때까지 언제 기달립니까 .. 제가 한번 가보지요..어흠..
후다다닥..
1시간 30분만에 도착해서 꺼져 있던 UPS 전원을 키자 " 웽웽" 서버고 뭐고 작동하기 시작한다.
감격한 고객 맞어! 저번에도 이렇게 간단하게 해결됬던거 같다..
우쭐해진 넘 하하 그럴수도 있지요뭐..(우씨..)
커피나 한잔 끓여 주시면 서버 점검하고 돌아 가겠습니다.
서버를 점검하다가 옆에 PC에서 홈페이지에 접속해 보았다.

fuck USA Government
fuck PoizonBOx
contactsysadmcn@yahoo.com.cn

놀래 버린 넘 (우씨 띠블 짱꼴라 넘덜..) 얼레리? 여기 해킹 당했내요..
별로 안놀랜 고객 참 별나내.. 이런 써버 해킹해서 뭐할라고 ..
당황한 넘 (이 중국넘덜이 서버에 접속해서 해킹하고 유피에수 까지 다운시켰나?)
(대단한 고수다 나는 로칼 서버에서 유피에수로 접속도 못하는데..)
(진작 패스워드라고 걸어 놀껄..애구 이사실을 보스가 알면..??)
별꼴 다보겠다는 표정의 고객 금방 복구 되지요?
식은땀 흘리는 넘 넹..(큰일났다.. NT 책좀 진작 볼걸..)

그리고 한짓이 INDEX화일 복구시키고 공유된 디렉토리란 디렉토리는 전부 ONLY 읽기 속성으로 바꿔 버렸다.
회사로 돌아가서 보고하기 민망해서 3시에 퇴근해서 방황했다.
집에와서 여기저기 인터넷 검색했더니 중국넘덜짓인지 어린 아해들 짓인지 불분명한 해킹 이야기로
여기저기 싸이트가 조금 시끌벅적하다.
해커스랩을 뒤져보다가 아래의 허망한 기사를 보았다.

참나 이렇게 간단한 해결 방법이 있는걸 서버 다 해집고 다니면서
공유된 디렉토리 전부 읽기 권한으로 바꿔버리고 있었으니..
저의 무식함에 하품이 나옵니다.
제가 참 한심하게 느껴 집니다..
헐헐헐 .. 엉엉 으흐흐흑..
아래 기사를 어디선가 언뜻 봤던 기억은 나는데 작년 8월에 뭐하고 있다가
지금에서야 이런 난리를 치고 있느지..
아 오늘 3시간 죽쑨걸 어디서 보상 받아야 하나..

아래기사..
확장 UNICODE character를 이용한 MicroSoft IIS 4.0/5.0 웹서버 내부 명령어 실행
-- 해당 시스템 -------
2000년 8월 15일경 이후에 업데이트를 하지 않은 다음 버전
Microsoft IIS 4.0 (Windows NT 4.0의 경우)
Microsoft IIS 5.0 (Windows 2000에서 기본적으로 설치되는 버전)
-- 설명---------------
Windows NT 및 2000에서 IIS 4.0 혹은 5.0으로 홈페이지를 운영하는 경우에
만일 "/"나 "\" 대신에 이에 대응되는 "확장 UNICODE character"를 사용할 경우
서버내에서 "../" 디렉토리와 관련된 어떤 명령어를 실행시킬 수 있는 버그가
존재한다.
예를 들면 웹서버에서 dir 명령을 실행시킴으로써 하드 디스크 내의 파일을 볼수있다.
http//hostname/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+"c\" 과 같은
URL을 웹브라우저에 쳐넣으면 c\ 안에서 dir을 입력한 결과를 웹브라우저를 통해
볼 수 있다.
또한 텍스트 파일의 경우 type 명령어를 실행시키면 그 파일의 내용도 볼 수가 있다.
심지어 del 명령어를 실행시킴으로써 파일을 삭제할 수도 있다
http//localhost/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+"g\FTP\upload\Card.zip"
과 같은 명령을 웹 브라우저의 URL에 쳐 넣는다면 g\FTP\upload\Card.zip 파일이
지워지게 된다.
%c1%1c 캐릭터 이외에도 "/"와 "\"에 대응되는 다음 확장 유니코드 캐릭터를
이용한 공격도 가능하다.
%c0%af = /
%c1%9c = \
한편, 이러한 공격기법이 몇가지 exploit 툴로 구현되어 있는데,
특정 IIS 웹서버에 이 unicode character버그가 check해 주는 툴과
IIS웹서버내에서 임의의 명령어를 쉽게 실행시킬수 있도록 해주는 공격 툴이
공개되어 있다.
이 버그에 관해서 테스트한 카오스클럽의 Cyberpunk Yun님의 진단에 의하면
- 많은 서버 관리자들이 이 보안 버그에 대해 패치를 했지만
의외로 패치가 안 된 곳도 상당수임.
- 대개 컴퓨터 관련 사이트들은 상대적으로 보안에 민감한 반면,
별로 컴퓨터와 상관없는 분야의 사이트는 버그 패치가 늦는 경향이 있음.
- 이 버그는 MS사에서 그 위험도를 발표한 것보다 훨씬 심각하며 매우 치명적임.
- 현재 상당히 많은 NT, W2k 사용 사이트가 이 버그에 노출되어 있음.
* Cyberpunk Yun님의 테스트 결과를 보기 위해서는 다음 사이트를 참고할 것.
http//ChaosClub.net/?url=./lecture/2000/1021-01/index.html
-- 해결책 ------------
1. 각 IIS 웹서버에 다음의 패치를 적용해야 한다.
IIS 4.0
http//www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
IIS 5.0
http//www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
2. 80번 target port로 접근해 오는 %c1%1c, %c0%af, %c1%9c 패턴을 탐지해낼수
있도록 각 침입탐지시스템의 룰셋을 세팅하는 것도 고려해야 한다.