현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

리눅스 서버에 웹셀이 숨겨진 것 같은데, 색출하기가 막연하네요.

huso의 이미지
글쓴이: huso / 작성시간: 월, 2015/12/07 - 9:35오후

리눅스 서버에 웹셀이 숨겨진 것 같은데, 색출하기가 막연하네요.
회원 가입이 이루어지는데, 이름 칸이 빈칸인 유령회원이 가입하는 것으로 보아 웹셀이 숨겨진 것 같은데, 검색하여 얻어진 몇가지 방법을 시도해보았으나, 해결이 안되네요.

KISA에서는 휘슬 신청한다고 다 보내주는 것이 아닌가 봅니다.
두 세차례 신청했는데도, 아무런 회신이 없습니다.

우선에 registe*.php 관련 파일들을 임시로 삭제해두었는데, 답답한 속에 날자만 지나갑니다.
조언이 있으면 좀 부탁드리겠습니다.

혹시 필요할까 싶어 이메일 남깁니다. humankr @ gmail.com

Forums: 
설치 및 활용 QnA
shint의 이미지

글쓴이: shint / 작성시간: 월, 2015/12/07 - 10:03오후

네이버. 구글에서 몇가지 정보와 업체가 보입니다.
http://search.daum.net/search?w=tot&DA=YZR&t__nil_searchbox=btn&sug=&sugo=&sq=&o=&q=%EC%9B%B9%EC%85%80

http://www.google.co.kr/search?hl=ko&source=hp&biw=&bih=&q=%EC%9B%B9%EC%85%80&gbv=2&oq=%EC%9B%B9%EC%85%80&gs_l=heirloom-hp.12..0i10l6j0i10i30l4.947.947.0.2393.1.1.0.0.0.0.191.191.0j1.1.0....0...1ac..34.heirloom-hp..0.1.190.8DAwLe2JL34

http://search.naver.com/search.naver?sm=stb_hty.top&where=se&ie=utf8&query=%EC%9B%B9%EC%85%80

----------------------------------------------------------------------------
젊음'은 모든것을 가능하게 만든다.

매일 1억명이 사용하는 프로그램을 함께 만들어보고 싶습니다.
정규 근로 시간을 지키는. 야근 없는 회사와 거래합니다.

각 분야별. 좋은 책'이나 사이트' 블로그' 링크 소개 받습니다. shintx@naver.com

huso의 이미지

글쓴이: huso / 작성시간: 월, 2015/12/07 - 10:53오후

유용한 정보에 감사드립니다.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 화, 2015/12/08 - 8:27오전

웹'셸(shell)'과 웹'셀(cell)'을 헷갈리다니... 다행히도 검색 엔진들이 잘 잡아 주긴 했지만 전자 쪽이 맞습니다.

혹시 회원 가입을 직접 구현하신 건가요? 입력 값에다가 대고 SQL 인젝션을 수행하면 빈 값이 들어갈 수도 있습니다. 간단하게는 입력값 검증을 자바스크립트를 쓰지 않고 서버에서 하는 것부터 시작해 보세요. 또한 단순히 웹셸 감지만으로 끝낼 것이 아니라, 다른 웹 취약점이 나타날 가능성도 있으니 사용자 입력이 들어가는 모든 애플리케이션을 검사해 봐야 합니다.

huso의 이미지

글쓴이: huso / 작성시간: 수, 2015/12/09 - 12:53오전

예, 좋은 말씀 감사합니다.
그렇군요. 웹셸로 검색해야 더 많은정보를 찾을 수 있군요.

그누보드에 여러가지 스킨을 혼용해서 사용하는것인데, 여러 해 묵은 자료들이 많다보니, 쉽지않은 일입니다.

김정균의 이미지

글쓴이: 김정균 / 작성시간: 수, 2015/12/09 - 1:03오전

web shell이 설치되어 있다기 보다는, web application에 공백으로 등록할 수 있는 취약점이 있을 것 같은데요. regist*.php를 막아 놓고선 문제가 없다면 web shell이 아니라 해당 파일에 회피할 수 있는 취약점이 있다는 시각으로 보는 것이 더 타당할 것 같습니다.

huso의 이미지

글쓴이: huso / 작성시간: 수, 2015/12/09 - 11:45오후

그런가요?
잘은 모르지만 짐작컨데, 어떤 web shell 같은 것이 작동을 헤서 회원 가입 프로그램 register*.php 를 실행시키는 것으로 파악됩니다.
그래서 db에 신입회원 자료가 등록이 되었는데, 한글 이름 필드들이 한글이 아니거나 빈칸이거나, 필수 항목 필드들이 비어잇거나 그런 현상이 발견되고 있습니다.
또한 register*.php 파일에 이메일 통지 보내는 기능이 있는데, 유령회원 가입시에 회원가입 메일이 날아오는 것을 보면서 그렇게 짐작을 하고 있습니다.
그래서 register*.php 파일을 임시로 삭제해두고 있습니다.

김정균의 이미지

글쓴이: 김정균 / 작성시간: 금, 2015/12/11 - 12:17오전

web shell의 정의에 대해서 다르게 보고 있는 듯 싶습니다.

web shell은 말 그대로 web에서 shell 명령을 실행할 수 있도록 해 주는 프로그램입니다. 그래서 저라면 web shell을 이용한다면 굳이 register*.php를 구동할 이유가 없다는 것이죠. 그냥 db 에 직접 접속할 수가 있으니 말이죠. 그리고 쉘에서 post로 넘어오는 register*.php를 구동하는 게 더 귀찮은 작업이기 때문에, register*.php 자체에 hole이 있다고 보는 것입니다.

뭐 일단 제가 시스템을 분석한 것은 아니라서 제 말이 100% 맞다고 할 수는 없지만, 제가 경험한 바에 의하면, 님의 증상은 register*.php 자체의 hole을 찾는 것이 더 빠를 듯 싶어서 남긴 것입니다.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.