게시판 즐겨찾기
편집
드래그 앤 드롭으로
즐겨찾기 아이콘 위치 수정이 가능합니다.
오유 웹해킹에 대해..
게시물ID : freeboard_453327짧은주소 복사하기
작성자 : 오늘과내일
추천 : 11
조회수 : 563회
댓글수 : 2개
등록시간 : 2010/07/22 13:47:10
안녕하세요. 허접한 리눅스 서버 엔지니어입니다.
  
   유머가 아닌 글 먼저 사과드립니다.
  
   도와드리고 싶지만 도와드리지 못하고 
   힘들어하는 운영자님이 자꾸 아른거려 짧은 서버 지식으로 적어 보았습니다.
  
   제가 글제주도 없어서 앞뒤가 맞지 않고 오타나 맞춤법이 틀린게 많을 수도 있으니 이해해 주시기 바랍니다.
  
   당장 서버를 보지 못하고 홈페이지만 보고 저혼자 생각해서 쓴글이니 정확하지 않을수 있습니다.
   제글을 보시는 많은 능력자분들은 알아서 필터링 해주세요.
  
   먼저 많은 분들이 오유의 공격이 DDoS라고 생각하시는 분들이 많은것 같습니다.
   하지만 제 생각은 단순 웹해킹이라고 생각합니다.
  
   DDoS 의 경우 소스 변조보다는 단순 홈페이지 다운이 목적입니다.
   하지만 오유의 경우 소스 변조가 있어서 오유인의 PC에 악성코드를 감염시켰습니다.
  
   또한 DDoS 공격의 경우 짧게는 1주정도부터 길게는 몇개월동안 주기적으로 서버를 다운시킵니다.
   하지만 오유의 경우 공격을 당하고 OS 재설치의 이유로 홈페이지가 접속되지 않았고
   복구후 운영자의 소스 수정 및 복구 작업으로 특정 기능 부분에만 문제가 있는 상황입니다.
  
   그래서 DDoS 공격 쪽보다는 단순 웹해킹이라고 저는 보고 있습니다.
  
   웹해킹은 실제로 상당히 많이 일어나고 있습니다.
   메이저급 홈페이지들이야 많은 프로그래머와 엔지니어가 서버에 붙어 있어 이런일이 드물지만
   일반 개인 홈페이지나 쇼핑몰등은 이런일이 엄청나게 많이 발생하고 있습니다.
  
   오유의 경우 제가 사정은 잘 모르지만 운영자님 혼자 개발하고 운영하시는 것으로 보이고
   노력은 많이 하고 계시겠지만 혼자 운영하기엔 너무나 커져버린 홈페이지에 
   보안상 취약점을 모두 찾아내서 수정하기엔 무리가 있다고 생각됩니다.
   혼자서 운영을 하셔서인지 여기저기 보안상 취약점이 많이 보이고 있습니다.
  
   저는 서버 관리만 하다보니 홈페이지 소스 개발이나 보안부분은 약하나 널리 알려진 부분이 몇개 보이네요.
  
   단순히 소스 보기를 해보시면 iframe 태그를 URL로 링크하셨는데 이부분은 수년전부터 보안상 취약하므로 
   php에서 사용하지 말라고 권고하는 사항입니다. php의 fopen 설정을 On 이 아니라 off로 변경하고 URL아닌 경로로 변경하시는게 좋을것 같습니다.
  
   또한 게시판등 클릭을 하면 주소창에 URL뿐만 아니라 소스내부에서 사용하는 변수까지 모두 노출이 됩니다.
   페이지의 데이터 이동은 GET 방식보다 POST 방식으로 변환을 했으면 합니다.
  
   허접한 제가 보더라도 많은 보안상 취약점이 보이는데 웹해커들은 이런 내용을 보고 가만히 있지 않을꺼라 생각됩니다.
  
   운영자님께서도 이미 이런 내용은 다 숙지하시고 소스 수정을 하시고 계시리라 생각됩니다.
   이런 작업이 하루아침에 되는 작업이 아니라 홈페이지 내용 전체를 뒤집어야 하는 작업이니
   큰 고민에 빠져 계실것 같습니다.
  
   우리 오유인은 이런 운영자를 믿고 기다려 주고 응원을 해주었으면 합니다.
  
   운영자님께서 만약에 제가 쓴글을 보신다면 OS 재설치 보다는 apache 서버를 이용한다면 mod_security 적용을 하시던가
   웹방화벽을 서버 앞단에 두는것도 좋을것 같습니다.
  
   그리고 나서 소스 수정을 하시는게 좋습니다. 웹해킹은 이미 한번 당하면 언제든지 다시 들어올 수 있는 구멍을 만들어 놓습니다.
   웹쉘이나 백도어등인데요. 해당 소스를 찾아 보시는것도 좋은 방법입니다.
  
   제일 먼저 gifimg.php 파일명으로 된 녀석이 있는지 확인을 해보십시오. 
   요즘 유행하는 놈입니다. 그리고 유명한 웹쉘들은 system, exec, passthru, escapeshellcmd, pcntl_exec, shell_exec 이정도가 있습니다.
  
   웹해킹 징후가 따로 발견되지 않으면 xferlog를 확인해서 해외IP로 FTP 접속이 없었는가 확인을 해보십시오.
   운영자님의 PC에 바이러스나 악성코드가 삽입되서 악성코드를 FTP로 모든 소스에 삽입하였을 수 있습니다.
  
   이것은 운영자님의 FTP접속하는 PC의 adobe reader 프로그램버전이 낮거나 windows 업데이트를 안했거나 flash player 버전이 낮을 경우
   감염된걸수 있으니 해당 프로그램 버전업을 하시고 PC 바이러스 체크를 꼭해보십시오.
  
   주저리 주저리 글을 썼지만 제가 말씀드리는것은 오유인들은 현재 고생을 하고 있고
   밤세가며 빨리 복구를 하고 있는 운영자님에게 응원을 해주고 기다려주는게 좋겠다는 것이구요
  
   운영자님께서는 허접한 기술내용이지만 모르셨던 내용이 있었다면 도움이 되고자 글을 올렸습니다.
  
   한가지 궁금한게 있네요.
  
   7월20일에 오유사이트에 접속되는 도메인들은 정보가 변경되었습니다.
   네임서버를 바꾸려고 하신건지 호스팅 회사를 변경하려고 하신건지는 잘모르겠으나 
   다음의 도메인이 검색이 되더군요.
  
   ========================
   todayhumor.dreamwiz.com
   cau91.co.kr
   todayhumor.co.kr
   m.todayhumor.co.kr 
   c9.co.kr
   =========================
  
   어제까지만 해도 실제로 위 도메인들은 전부 오유로 접속이 되었었습니다.
  
   마지막에 c9.co.kr 보이시나요? c9 온라인게임과 같은 이름인데
   한게임측에서 연락이 갔을지도 모르겠네요 도메인 팔라고...
   하지만 2001년에 운영자님은 도메인을 구입하시고 팔지 않으신듯하네요
  
   뭔가 뜻깊은 사연이??
  
   아시는분 알려주세요~
꼬릿말 보기
전체 추천리스트 보기
새로운 댓글이 없습니다.
새로운 댓글 확인하기
글쓰기
◀뒤로가기
PC버전
맨위로▲
공지 운영 자료창고 청소년보호