왠지 해킹을 당한 듯합니다.
회사에서 운영 중인 a라는 사이트가 있는데 디비상에 회원 정보가 자꾸 변경되고 있네요.
그래서 find /path/-mtime-1 로 최근 변경 된 파일이 있나 싶어서 뒤져봐도 안나오는 것 같고요.
일단 로그를 보는데 헐 -_-a access.log, error.log 등이 20메가가 넘어 갑니다.
로그 보면서 혹시나 해서 cron 쪽도 보고 있고요.
보통 뭔가 낌새가 이상하다 할 때 어떻게들 처리하시는지 고견을 듣고 싶네요.
그리고 xss 공격이나 인젝션 공격을 당했다면 어떻게 처리하는게 현명할까요?
댓글 1개
13년 전
http://toolbox.krcert.or.kr/MMVF/MMVFView_V.aspx?MENU_CODE=7&PAGE_NUMBER=16
캐슬을 설치하세요.
실제 사용중인데 잘 잡습니다
xxx.39.xxx.1x5 - [18/Jan/2012:07:01:55 +0900] /news/news_view.php: uid = 40536 onclick=click_tagging: XSS 공격 패턴 탐지
-> [Method: GET]
-> [Policy: 기본정책]
-> [Pattern: onClick[[:space:]]*=]
xxx.xx.1x0.xx5 - [18/Jan/2012:07:01:56 +0900] /news/news_view.php: uid = 40092 onclick=click_tagging: XSS 공격 패턴 탐지
-> [Method: GET]
-> [Policy: 기본정책]
-> [Pattern: onClick[[:space:]]*=]
요런식으로 잡습니다.
캐슬을 설치하세요.
실제 사용중인데 잘 잡습니다
xxx.39.xxx.1x5 - [18/Jan/2012:07:01:55 +0900] /news/news_view.php: uid = 40536 onclick=click_tagging: XSS 공격 패턴 탐지
-> [Method: GET]
-> [Policy: 기본정책]
-> [Pattern: onClick[[:space:]]*=]
xxx.xx.1x0.xx5 - [18/Jan/2012:07:01:56 +0900] /news/news_view.php: uid = 40092 onclick=click_tagging: XSS 공격 패턴 탐지
-> [Method: GET]
-> [Policy: 기본정책]
-> [Pattern: onClick[[:space:]]*=]
요런식으로 잡습니다.
게시글 목록
| 번호 | 제목 |
|---|---|
| 1716761 | |
| 1716759 | |
| 1716743 | |
| 1716734 | |
| 1716733 | |
| 1716728 | |
| 1716724 | |
| 1716722 | |
| 1716711 | |
| 1716704 | |
| 1716687 | |
| 1716675 | |
| 1716673 | |
| 1716669 | |
| 1716658 | |
| 1716656 | |
| 1716655 | |
| 1716652 | |
| 1716635 | |
| 1716627 | |
| 1716623 | |
| 1716616 | |
| 1716608 | |
| 1716606 | |
| 1716597 | |
| 1716593 | |
| 1716586 | |
| 1716569 | |
| 1716548 | |
| 1716543 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기