XETOWN

질문/답변

웹에 관련된 질문과 답변을 나눌 수 있습니다.
질문/답변
2016.10.28 02:01

해킹공격 문의 드립니다.

조회 수 130 댓글 7

vultr.com vps를 사용중입니다.

티켓이 열린것을 모르고 며칠이 지나 vultr 쪽에서 서버를 중단했다고 티켓이 와 있네요.

네번째로 알려왔고 24시간내로 회신을 하지 않으면 해킹당한 계정을 삭제한다고 합니다.

 

우분투14.04 / NGINX / PHP5.5 / MYSQL 마리아디비이고,

XE를 쓰다가 그누보드 가장 최신버전으로 변경한 상태입니다.

 

서버세팅쪽은 초보라 깔라는것만 깐 상태이고

ufw allow 443

ufw allow 1022

열어놓았습니다.

 

따로 iptable?? 등은 설정한것이 전혀 없구요ㅠㅠ

아래는 vultr 에서 남겨준 관련로그입니다. 127.0.0.1 은 제 서버IP 이고요.

 

Your server with IP 127.0.0.1 was used to attack our system
Here is the log
127.0.0.1 - - [25/Aug/2016:08:22:00 +0200] "GET
/?param=-1+UNION+SELECT+GROUP_CONCAT(table_name)+FROM+information_schema.tables
HTTP/1.1" 302 5 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64)
AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21"
127.0.0.1 - - [29/Aug/2016:03:47:00 +0200] "GET
//mailing/output.php?id=2&bVKg%3D9640%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23
HTTP/1.1" 200 2654 "-" "sqlmap/1.0.8.19#dev (http://sqlmap.org)"
127.0.0.1 - - [29/Aug/2016:04:03:34 +0200] "GET
///auto/renew_order.php?id=&LYua%3D7219%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23
HTTP/1.1" 200 31 "-" "sqlmap/1.0.8.19#dev (http://sqlmap.org)"
127.0.0.1 - - [29/Aug/2016:04:06:25 +0200] "GET
///auto//epp.php?sha=1&GyLz%3D9321%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23
HTTP/1.1" 200 1453 "-" "sqlmap/1.0.8.19#dev (http://sqlmap.org)"
127.0.0.1 - - [29/Aug/2016:05:05:42 +0200] "GET
///auto//epp.php?sha=1&StHx%2F%2A%21LIKE%2A%2F6251%2F%2A%21AND%2A%2F1%2F%2A%21LIKE%2A%2F1%2F%2A%21UNION%2A%2F%2F%2A%21ALL%2A%2F%2F%2A%21SELECT%2A%2F1%2C%2F%2A%21NULL%2A%2F%2C%EF%BC%87%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%EF%BC%87%2Ctable_name%2F%2A%21FROM%2A%2Finformation_schema.tables%2F%2A%21WHERE%2A%2F2%3E1--%2F%2A%2A%2F%3B%2F%2A%21EXEC%2A%2Fxp_cmdshell%28%EF%BC%87cat%20..%2F..%2F..%2Fetc%2Fpasswd%EF%BC%87%29%23
HTTP/1.1" 200 1453 "-" "sqlmap/1.0.8.19#dev (http://sqlmap.org)"
61.220.191.197 - - [07/Sep/2016:10:38:58 +0200] "GET
///auto//epp.php?sha=1&cegf%3D2058%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23
HTTP/1.1" 200 1453 "-" "sqlmap/1.0.6.53#dev (http://sqlmap.org)"
23.81.140.3 - - [18/Oct/2016:09:18:09 +0200] "GET
/auto/epp.php?sha=1%27%20union%20Select%201,count(*),concat(0x3a,0x3a,(select%20user()),0x3a,0x3a,floor(rand(0)*2))a,4,5,6,7,8%20from%20information_schema.columns%20group%20by%20a%23
HTTP/1.1" 200 1725 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:49.0)
Gecko/20100101 Firefox/49.0"

 

 

이게 누가 공격을 한것이고, VULTR쪽에는 뭐라고 답변을 보내야 할까요?

혹시 저런공격을 막기 위한 방법이 있는지 해결책을 좀 알 수 주실 수 있을까요?

 

회원님들 위와 관련하여 도움이 될 만한 블로그나 방어법을 알려주시면 정말 감사 하겠습니다. ㅠㅠ

  • ?
    마신 2016.10.28 02:13:34

    일단 아래 잡히는 ip주소는 흔한 프록시 외국 ip이구요.

    /auto/epp.php 이파일이 뭘 하는 파일인지 모르겠는데요.
    해당파일을 이용해서 sql명령어나 기타 명령으로 해킹하는것으로 보이네요

    /auto/epp.php 파일이 그누보드에서 무엇을 하는지 모르겠습니다.
    프록시니 이미 ip주소 바꿨을테니 ip차단해도 무의해보이구요.

    /auto/epp.php 파일이 그누보드에서 어떤역할을 하는 파일인지 파악해서 필요없으면 삭제하시고
    필요하다면 그누보드쪽에 문의 남겨서 해당파일에서 보안을 강화하는게 좋을거 같습니다.

    그누보드 취약점이라면 그누보드쪽에 남기는게 더 빨리 해결할수 있을거 같습니다.

  • profile
    렙흥아 2016.10.28 02:19:02
    답변 감사합니다. /auto/epp.php 라는 경로와 파일은
    실제 서버에 없는 경로와 파일입니다.

    잠시 검색해보니 file2ban 등을 보안을 위해서 많이 사용하는거 같은데
    도움이 될까요?

    일단 뭘 해보려고 해도 서버가 내려가서 제가 다시 켜지지도 않고
    관리자에게 방화벽등 해킹방어를 위한 시도를 할테니 다시 열어달라고 하면 열어주는걸까요-0-??
  • profile
    나만의너 2016.10.28 02:25:29
    fail2ban은 진짜 효과를 보기란 어렵습니다. 차라리 기진곰님에게 서버세팅을 의뢰하시는게 좋을 것 같아요
    서버에 초보시라면 뭘 해도 같은 경우를 재반복되게 됩니다. 그럴땐 확실하게 서버에 아시는 분이 손을 한번 대 주시는게 가장 좋아요. 늦지않도록 해결되시길 바랍니다.
  • ?
    마신 2016.10.28 02:28:19

    다시 보니 날짜가 맨마지막이 10월18일 입니다.
    로그를 지웠는지 아니면 해킹후 악성코드등을 10일동안 배포하다가 차단됐는지는 모르겠네요
    기진곰님이 서버전문가시니 금전적인 문제만 없다면 맡기시는게 더 나을수 있을거 같습니다.

  • ?
    투데이 2016.10.28 04:17:17

    기진곰님이 이사이트에서는 서버쪽 최강입니다.
    웹호스팅을 사용하셨다면 아무래도 해킹을 안당하셨을텐데
    vps라는건 전문가가 아니면 함부로 손대면 안된다고 생각합니다.

    기진곰님께 문의해보세요.

  • profile
    기진곰 2016.10.28 12:15:15

    단지 공격당하는 것으로 서버를 차단하거나 티켓을 열지는 않습니다. 님의 서버가 좀비PC가 되어서 다른 서버를 공격하고 있기 때문에 다른 서버를 보호하기 위해 님의 서버를 삭제하겠다는 얘기입니다. 즉 님의 서버는 이미 오래 전에 뚫렸고, 이제는 해커가 님의 서버를 사용해서 다른 서버를 공격하고 있는 상황입니다. 이미 뚫렸으므로 fail2ban이나 일반적인 방화벽을 추가하는 것은 도움이 되지 않습니다.

     

    /auto/epp.php는 공격당한 서버 쪽에 있는 파일입니다. 님의 서버는 공격당한 것이 아니라 공격을 하고 있으니, 님의 서버에는 없을 수도 있지요. 아마 그누보드의 취약점을 통해 악성코드가 업로드되었거나, FTP 또는 SSH 계정이 해킹되어 악성코드가 설치된 것으로 보입니다. 로그 기록으로 보아 sqlmap이라는 악성코드인 듯 하네요.

     

    이게 어디 있는지 찾아서 제거한 후 vultr에 알려야 합니다.

  • ?
    휘즈 2016.10.28 15:13:57
    님 서버가 다른 사이트를 공격하고 있군요.
    sqlmap은 취약성 침투 테스트를 하는 툴(오픈소스입니다.)
    2가지 경우를 가정해야 합니다.
    1. 웹서버가 뚤린 경우
    스팸글,댓글이 있나.
    게시글 댓글 중에 악성스크립트가 있는 것이 있나 확인 후 제거.
    2. 서버가 뚫린 경우
    서버 계정을 탈취당했다면 답이 별로 없습니다.
    서버 os부터 다시 클린 설치 하시는 좋을 듯합니다.

List of Articles
번호 분류 제목 날짜
공지 질문/답변 답변을 확실히 받기위한 질문자 지침서 20 2015.12.31
3119 질문/답변 몇가지 궁금해서 질문드립니다. 4 2016.10.29
3118 질문/답변 이런 호스팅 업체 추천부탁드려요. 15 2016.10.29
3117 질문/답변 "회원가입" 페이지 질문드립니다. 2 2016.10.29
3116 질문/답변 라이믹스는 어떻게 업그레이드를 해야 할까요 5 2016.10.28
3115 질문/답변 애드피넛이라는곳 쓰시는분 계세요? 제휴메일이와서요. 7 2016.10.28
3114 질문/답변 커뮤니티 하시는분들 해외서버 어디쓰나요? 10 2016.10.28
3113 질문/답변 슈퍼캐시 모듈 질문입니다! 10 2016.10.28
3112 질문/답변 포인트마켓에서 재구매란 무엇일까요? 6 2016.10.28
» 질문/답변 해킹공격 문의 드립니다. 7 2016.10.28
3110 질문/답변 문서 페이지나 위젯 페이지에서 사용자 정의 사용하는 방법 5 2016.10.28
3109 질문/답변 공유버튼을 레이아웃에 붙일려면 어떻게 해야할까요 2 2016.10.27
3108 질문/답변 라이믹스 업데이트 이후 생긴문제 - 메뉴 위치 설정이 안됨 3 file 2016.10.26
3107 질문/답변 controller에서 바로 파일을 다운로드 하게 하려면 어떻게 해야할까요 ? 4 2016.10.26
3106 질문/답변 갤러리 위젯에서 prettyPhoto 애드온을 동작시킬려면 3 2016.10.26
3105 질문/답변 홈페이지 레이아웃 설정을 바꿨더니 이상하게 나오네요 2 2016.10.26
3104 질문/답변 일부 카테고리의 게시물을 위젯으로 불러올 때 2개 이상은 불러오게 할 수 없을까요? 2 2016.10.26
3103 질문/답변 클라우드 플레어 이미지서버? 이미지전용으로 쓰고 계신분 있으신가요?? 5 2016.10.26
3102 질문/답변 소셜 로그인 모듈 관련 제발 한번만 읽어주세요. 14 2016.10.26
3101 질문/답변 7만원대의 해외 VPS vs 국내 서버호스팅 23 2016.10.25
3100 질문/답변 이모티콘이 관리자에게만 출력됩니다. 9 file 2016.10.25
Board Pagination Prev 1 ... 9 10 11 12 13 14 15 16 17 18 ... 169 Next
/ 169
위로
서버에 요청 중입니다. 잠시만 기다려 주십시오...