112.219.92.82 - - [24/Mar/2012:01:01:42 +0900] "GET /phpmyadmin/main.php?reload=1&sql_query=select+%27%3C%3Fphp+echo+%5C%27%3Cpre%3E%5C%27%3Bsystem%28%24_GET%5B%5C%27cmd%5C%27%5D%29%3B+echo+%5C%27%3C%2Fpre%3E%5C%27%3B+%3F%3E%27+INTO+OUTFILE+%27%2Ftmp%2F.a%27&token=6447c5d6e0ef4ea9a5807a9cdf775021 HTTP/1.1" 200 7428 "도메인/util/phpmyadmin/server_sql.php?token=6447c5d6e0ef4ea9a5807a9cdf775021" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.26) Gecko/20120128 Firefox/3.6.26"
위와같이 웹로그가 다수 발견되었는데요
phpmyadmin 소스 파일을 웹에서 다운받을수 있게 리스트 보이게 해둿엇는데 그경로 뒤에 이런식으로 쿼리를 남겼네요.. 굵게 표시해놓은 .a 파일이 /tmp 디렉토리에서 발견되었구요..
인젝션이나 그런형태 인건가요?
아이피 변조해서 무수히 많은 로그가 생성되었습니다 ㅠㅠ
zh-CN이건 중국이라는거같기도 하고 ㅠㅠ 조언바랍니다 ㅠㅠ 일단 그경로의 파일은 삭제햇습니다 ㅠㅠ
댓글 3개
13년 전
음....정확한건 들어가서 봐야겠지만......phpmyadmin 기본 로그가 저런식으로 남다보니...
별다른 의심점은 /tmp 에 파일이 생겼다라는건데....폴더명을 phpmysadmin 이런식으로 쓰는건
위험하구요...조치는 잘 취하신것 처럼보이네욤...
파일 삭제와 더불어 경로변경 , phpmyadmin 버전업 정도 조치 하시면 될듯 한데욤
별다른 의심점은 /tmp 에 파일이 생겼다라는건데....폴더명을 phpmysadmin 이런식으로 쓰는건
위험하구요...조치는 잘 취하신것 처럼보이네욤...
파일 삭제와 더불어 경로변경 , phpmyadmin 버전업 정도 조치 하시면 될듯 한데욤
xkingcode
13년 전
웹셀 업로드 맞네요. PHP로 보내는 명령을 바로 실행하는 PHP 파일을 만든겁니다.
일단 서버내에 파일은 다 털어갈 수 있는 상황이 되었고요.
(소스, db접속 계정 정보, DB 내용)
우선 기본적으로 비밀번호 변경하시고요.
가능한 업데이트 다 해주시고요.
웹셀 이후에 권한 탈취 시도까지는 없었던 것 같습니다만
좀비 PC 가능성도 높으니
ps aux 에서 이상한 프로세스 있으면 삭제해주세요
neststat -a 해서 정체모를 IP로부터 명령 받고있는건 없는지 확인하시고요.
phpmyadmin 경로 변경해서 다른 곳에서 쓰시고
phpmyadmin 최신 버전으로 다시 받으시고요.
MySQL은 해당 서버에서만 접근할 수 있게 IP제한 걸어주시고
PHPMyadmin도 IP 제한 걸면 좋고요.
가능하면 방화벽으로 오픈해야 하는 서비스만 오픈하심이 좋아보이십니다.
일단 서버내에 파일은 다 털어갈 수 있는 상황이 되었고요.
(소스, db접속 계정 정보, DB 내용)
우선 기본적으로 비밀번호 변경하시고요.
가능한 업데이트 다 해주시고요.
웹셀 이후에 권한 탈취 시도까지는 없었던 것 같습니다만
좀비 PC 가능성도 높으니
ps aux 에서 이상한 프로세스 있으면 삭제해주세요
neststat -a 해서 정체모를 IP로부터 명령 받고있는건 없는지 확인하시고요.
phpmyadmin 경로 변경해서 다른 곳에서 쓰시고
phpmyadmin 최신 버전으로 다시 받으시고요.
MySQL은 해당 서버에서만 접근할 수 있게 IP제한 걸어주시고
PHPMyadmin도 IP 제한 걸면 좋고요.
가능하면 방화벽으로 오픈해야 하는 서비스만 오픈하심이 좋아보이십니다.
13년 전
phpmyadmin 최신 버전으로 사용하는게 좋겠네요.
phpmyadmin 트래픽 공격도 발생하더군요.
phpmyadmin 트래픽 공격도 발생하더군요.
게시판 목록
팁게시판
디자인과 관련된 유용한 정보를 공유하세요.
질문은 상단의 QA에서 해주시기 바랍니다.
질문은 상단의 QA에서 해주시기 바랍니다.
| 번호 | 제목 | 글쓴이 | 날짜 | 조회 |
|---|---|---|---|---|
| 6052 | 9년 전 | 576 | ||
| 6051 | 9년 전 | 565 | ||
| 6050 | 9년 전 | 941 | ||
| 6049 | 9년 전 | 330 | ||
| 6048 | 9년 전 | 555 | ||
| 6047 | 9년 전 | 685 | ||
| 6046 | 9년 전 | 680 | ||
| 6045 | 9년 전 | 623 | ||
| 6044 | 9년 전 | 578 | ||
| 6043 | 9년 전 | 748 | ||
| 6042 | 9년 전 | 468 | ||
| 6041 | 9년 전 | 539 | ||
| 6040 | 9년 전 | 419 | ||
| 6039 | 9년 전 | 372 | ||
| 6038 | 9년 전 | 381 | ||
| 6037 | 9년 전 | 356 | ||
| 6036 | 9년 전 | 360 | ||
| 6035 | 9년 전 | 332 | ||
| 6034 | 9년 전 | 336 | ||
| 6033 | 9년 전 | 819 | ||
| 6032 | 9년 전 | 355 | ||
| 6031 | 9년 전 | 305 | ||
| 6030 | 9년 전 | 337 | ||
| 6029 | 9년 전 | 306 | ||
| 6028 | 9년 전 | 342 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기