테스트 사이트 - 개발 중인 베타 버전입니다
SIR

리눅스 서버에서 PHP 웹쉘 찾기/PHP 웹쉘 샘플 4개

프로페셔널
프로필 보기이 회원 글보기
 · 13년 전 · 4301 · 6

링크

http://book119.net (101)
제가 그누보드 기반의 솔루션을 꽤 많이 관리하는데
웹쉘 때문에 돌아가실것만 같습니다. ㅜㅜ
 
제가 확인한 웹셀 올리는 패턴
 
1. 관리자 계정 탈취
2. /data/확장자 없는 파일을 하나 업로드
3. 게시판 환경설정 게시판 상단파일 경로 적는곳에 확장자 없는 파일 경로를 적음.
 
확장자 없는 파일의 내용은
<form> 태그를 포함한 파일을 업로드 시킬 수 있는 html을 담고 있습니다.
 
<?
if($_POST[q]) {
fopen($_POST[q]);
fwrite...............
}
?>
<form>
<input type='file'>
<input type='text' name='q'> <-- 파일을 저장할 경로를 넣음
</form>
 
확장자 없는 파일을 업로드한 상태에서
게시판을 열면 게시판 상단에 파일첨부가 떡하니 뜹니다.
 
이런 식으로 원하는곳에 웹쉘을 올려 버리고나서
외부에서 소스 다운받고, 디비 받고, 파일 조작하고 다하는거죠....
 
-----------------------------------------------------------------
 
아래 내용은 정말 기본적인 검색법입니다.
그런데 이것도 몰라서 계속 당한거 생각하면 화가 치밀어 오르네요 ㅜㅜ
 
리눅스 서버 기준입니다.
 
find 명령 실행할 수 있는 권한이 있는 계정으로
 
find / -name *.php | xargs grep 'passthru'
find / -name *.php | xargs grep 'execfuncdb'
find / -name *.php | xargs grep 'system'
find / -name *.php | xargs grep 'shell'
find / -name *.php | xargs grep 'PH4ckP'
find / -name *.php | xargs grep '1v1'
 
등으로 찾아보시면
 
맨끝에 따옴표로 둘러싸여진 단어들이 포함된 파일들의 목록이 나옵니다.
어떤 내용안에 단어가 포함됐는지도 나오고요.
확인 후 정상적인 소스가 아니면 지워주시면 됩니다.
 
그리고 제가 당해본 결과 어딘가에 또 숨겨놓고 계속 웹쉘을 올리더라고요.
전 root 권한이 있어서 각 계정의 모든 폴더 권한을 root.root로 바꿔 버렸습니다.
일반권한으로두면 계속해서 올라와서요...
 
좋은 노하우 있으신분 계시면 도움 좀 주시고요.
 
 
주로 그누보드에서 사용하는 파일명과 비슷하게 올리고요
웹쉘이 주로 올라오는 /data 폴더는 그누보드 설치완료 후에
755로 권한을 꼭 수정해 주시기 바랍니다.
 
그리고 /data 폴더안에서 html이나 php 실행못하게 하는 쉘스크립트
관리자님이 올려 두셨으니 꼭 찾아서 적용하시고요.
 
 
 
체크해볼 폴더및 파일명
/bbs/board_write.php
/bbs/tail.php
/bbs/login_proc.php
/extend/memo.lib.php
 
 
 
마지막으로 웹쉘 샘플 4개 올려 놓겠습니다.
혹시라도 악용하지 마시고 보안에 도움되시길 바랍니다. ^^

첨부파일

웹쉘.zip (92.8 KB, 185회)
목록
이전글 다음글

댓글 작성

댓글을 작성하시려면 로그인이 필요합니다.

로그인하기

댓글 6개

제갈량
프로필 보기이 회원 글보기
 13년 전
정말 많이 당하셨나봐요..
그만큼 유명한 사이트인가 봅니다.
제갈량
프로필 보기이 회원 글보기
 13년 전
저도 사이트 어느정도 성장하면 조심해야겠네요..
띵조
프로필 보기이 회원 글보기
 13년 전
확장자가 없는 파일은 업로드 안돼게 하면 안돼나요?
혹은 특정 확장자가 아니면 업로드 안돼게...;;
xkingcode
프로필 보기이 회원 글보기
 13년 전
좋은 팁이네요. 추천.
참고로
base64 decode랑 eval을 조합해서
해당 함수 명을 직접 쓰지 않고 작성된 웹셀도 많이 있습니다
xkingcode
프로필 보기이 회원 글보기
 13년 전
다시보니 올려주신 샘플에도 있네요! 7.php
아리타
프로필 보기이 회원 글보기
 13년 전
감사합니다 ^^

게시글 목록

번호 제목
8050
홈페이지 리뉴얼시 디잔+퍼블리싱+개발 비중 3
8048
댓글 로직 1
19969
MySQL mysql 상태를 확인 하는 방법
19968
MySQL mysql 실시간 processlist
19967
기타 SQL Injection 개념과 원리
19966
MySQL 원활한 SQL Injection을 위해 숙지해야 할 mysql의 작동원리
19965
MySQL mysql 일반적인 최적화 팁
19964
기타 간단한 리눅스 명령어
19963
웹서버 모니터링에 유용한 리눅스 명령어 watch
19962
MySQL mysql 데이터 경로 바꾸기
19961
MySQL mysql 운영팁. 느린 쿼리를 발견하기
28345
이미지 경로.. 1
31017
CSS 당신은 모를 수도 있는 CSS의 7가지 단위 4
19960
기타 아파치 동시접속자 알아내기
19959
MySQL mysql index에 대해..
19958
MySQL 구분자는 enum으로
19957
MySQL mysql zerofill에 대해
8039
Functional Programming in PHP 8
8035
답답한 전문대학교 학생 질문드립니다. 3
8029
질문 있습니당! mysql 5
28344
퍼블리셔분을 모집합니다.
28339
모바일 hover효과 주기 4
8019
PHP7에 대해 반드시 알아야 할 다섯 가지 진실! 9
28338
알바 구해봅니다.
8017
DB 데이터 서버 변경문의 1
8010
엄마 아빠도 모르는 음력의 비밀 6
8007
[구인] 중장기 프로젝트 POS SYSTEM 개발자 구합니다. 2
8004
제이쿼리 충돌되는 부분 좀 봐주세요ㅠ 2
8003
도메인 DNS갱신(초기화) bat 프로그램
28332
홈페이지 유지 보수 하실 분 찾습니다. 5
28322
퍼브리싱하는데 질문입니다. 9
7999
phpt날짜계산 3
28317
프리랜서 퍼블리서(오랫동안 같이 일할 성실한분 찾습니다.) 4
20956
그누보드 최신버전 (5.1.1) 살펴보기 - bbs/board.php (1) 13
7992
SSL 암호와 통신에 대해 토론(조언)을 제안합니다. 6
20945
그누보드5 그누보드 최신버전 (5.1.1) 살펴보기 - bbs/visit_insert.inc.php 10
28314
안드로이드 웹뷰에서 select 디자인 변경.. 2
20936
그누보드5 그누보드 최신버전 (5.1.0) 살펴보기 - common.php (7) 8
20931
그누보드5 그누보드 최신버전 (5.1.0) 살펴보기 - common.php (6) 4
7986
이 사이트는 어떤 언어인가요? 5
20925
그누보드5 그누보드 최신버전 (5.1.0) 살펴보기 - common.php (5) 5
7982
개발자분들 연봉관련하여 조언을 구하고자 합니다. 3
7979
자바스크립트.. 도움이 필요합니다ㅠ 2
7978
사이트를 리뉴얼 해 보았습니다,
7975
프로그래머 찾습니다! 2
28307
부트스트랩 기반의 사이트가 많아지는 느낌이 듭니다. 6
7973
프로그래머 구인중입니다. 1
7966
삽질하다가 겨우 만들어낸...; 6
28305
웹접근성인증마크 취득 경험 있으신 퍼블리셔 모집합니다. 1
7963
그냥 간단한 페이지 레이아웃 잡는데 2
28300
브라우저별 폰트가 다르네요. 4
7961
웹페이지 제작중에 클릭한 메뉴 다음페이지에서 고정하고 싶은데.. 1
28297
메뉴 현재페이지 고정때문에 질문드려요 2
28295
putty 압축해제하는 방법에 대해서 1
7959
삼성전자에서 만든 IoT용 오픈소스, 제리스크립트와 IoT.js 1
19948
지금까지 잘못 알고 있었던 MySQL int type의 진실.. 8
19947
PHP 휴대폰 번호 - 원하는 자리에 * 로 표현
28292
자바스크립트 메모리관리 ? 어떻게들 관리하시나요!? 2
31016
HTML 모바일 작업시 숫자인식,메일주소, 지도상의 주소링크 막기
19946
PHP 전화번호 뒷번호 **** 숨길 때
19945
웹서버 한번에 업로드할 수 있는 화일 갯수 지정
28286
반응형으로 만드는데... 익스 8 크로스브라우징까지 해야하나요... 5
7958
시놀로지 나스에 그누보드5 깔아서 쓰시는분 있나요?
7956
Python Flask 지원하는 호스팅 업체가 있을까요? 1
7952
아파치 도메인 설정 질문입니다. 3
7946
mysql get 0은 null?? 질문입니다.! 5
28285
울산분 구합니다.
28283
이홈페이지에 적용된 자바가 궁금해요! 도와주세요 ㅠㅠ 1
19943
PHP CloudFlare 사용시 방문자 IP와 SSL 접속여부 파악하기 1
7944
과외받고싶습니다. 1
7936
부산에서 프로그래밍 배우고싶은 분 7
7931
하이브리드앱은 네이티브보다 속도가 느릴수밖에 없나요..? 4
28279
스타일시스 이용 이미지사이즈 조절 3
24666
안녕하세요 2
24663
블로그를 운영시 검색상위에서 밀려난 원인이 3
7928
php과외 선생님을 모십니다. 2
7923
요즘 개발 업체에 의뢰하면..의뢰자가 전문인 아니어도 개발 잘 해주시나요? 4
19941
MySQL phpMyAdmin 시간 늘리기 1
28274
요즘 자바스크립트로 링크 안거나요? 4
28257
코딩하는데 얼마나 걸리세요? 16
28249
반응형 웹 개발시 가장 먼저 공부해야할 언어는 무엇인가요? 7
28248
그누보드 게시판 홈피에 꺼냈는데 제한된 영역만 보여여 코딩도움주실분!
7914
강원도 원주에 사시는 개발자님 계신가요? 8
7912
모바일 글수정시 1
7911
영카트4, 5 로 모바일 쇼핑몰 몇년 유지보수 후기
20912
그누보드5 그누보드 최신버전 (5.0.36) 살펴보기 - common.php (4) 12
7908
워프--->그누5 리모델링 후기 2
31755
부트스트랩 부트스트랩 MIT 라이센스? 4
28233
반응형페이징! 14
28232
펜션 홈페이지에서 나오는 음악들은..
28228
rido님 글 확인 가능하신가요? 3
7903
에효.....템플릿 예시홈페이지만들기..... 4
28217
초보자가 반응형 웹을 만들기엔 어려울까요? 10
20900
그누보드5 그누보드 최신버전 (5.0.36) 살펴보기 - common.php (3) 11
24662
기획자가 되려면 어떻게 해야 하나요?? 1
20891
그누보드5 그누보드 최신버전 (5.0.36) 살펴보기 - common.php (2) 8
20882
그누보드5 그누보드 최신버전 (5.0.36) 살펴보기 - common.php (1) 8
19936
웹서버 SSL의 정석 (아파치 & nginx) 4
20853
그누보드5 그누보드 최신버전 (5.0.36) 살펴보기 - config.php 28
31011
기타 구글의 material design에 관한 설명입니다. 4
이전 다음
전체 목록