ftp 비번변경, htaceess 파일 삭제했는데도 파일 변조가 일어나네요.
본문
해킹당하고 루트에 htaceess파일 설치, 루트에 index.php 이상한 사이트로 넘어가기 파일 수정되어 있었습니다.
그래서 ftp 비번 바꾸고 고도몰 웹호스팅에서 ftp 잠금 있어서 잠궈났습니다. htaceess는 전부 삭제하였습니다.
물론 예전에 해킹 당했을 때 게시물에 스크립트 설치된 것도 다 삭제하였습니다.
그런데 또 이상한 사이트에 접속되네요. 일주일 뒤에요.
ftp 비번도 바꾸고, 접속도 안되게 했는데 어떻게 루트 폴더에 htaccess파일과 index.php 파일을 수정할 수 있는거죠?
현재 폴더는 700, 파일은 600으로 파일권한이 되어있네요.
이걸 폴더 755, 파일 644로 해도 결국 똑같겠죠? ㅠ
유일하게 안되어 있는 것은 홈페이지가 https가 아니라 http입니다. 이것도 파일변조에 도움이 되는지,
그리고 그누보드 버전이 올해 초 버전입니다.
해킹당했을 때 들어있던 파일입니다.
index.php
htaccess 파일
답변 3
전에도... 댓글 달았지만...
일단 첨부파일(업로드된 파일들) 전체 검수해보세요. (삭제하셔야 합니다)
일단 권한 획득 되면 다른 어떤 작업해도 똑같이 해킹 할 수 있습니다.
* 첨부파일 전체 검수
* 변조전 그누보드(백업) 파일로 교체
* 데이터베이스 검수(변조데이터 복구 또는 삭제)
data 폴더에 악성파일이 있지 않나 살펴보셔야 할거 같습니다.
답글 감사합니다.
index 가 문제가 아니라 이미 어느 곳에 악성코드가 들어가있을 가능성이 높습니다.
data 폴더 내부가 제일 의심되고 전체적으로 검사하셔야 할것 같네요.
악성코드는 파일 안에 코드로 심어져있다는건가요? 아참 방금 htaccess.th 파일을 열어보니 악성코드가 있네요. *.th가 안열려서 신경안썼는데.. 그것도 htaccess파일이랑 동일하게 코드가 심어져있었습니다.