vultr.com vps를 사용중입니다.

티켓이 열린것을 모르고 며칠이 지나 vultr 쪽에서 서버를 중단했다고 티켓이 와 있네요.

네번째로 알려왔고 24시간내로 회신을 하지 않으면 해킹당한 계정을 삭제한다고 합니다.

 

우분투14.04 / NGINX / PHP5.5 / MYSQL 마리아디비이고,

XE를 쓰다가 그누보드 가장 최신버전으로 변경한 상태입니다.

 

서버세팅쪽은 초보라 깔라는것만 깐 상태이고

ufw allow 443

ufw allow 1022

열어놓았습니다.

 

따로 iptable?? 등은 설정한것이 전혀 없구요ㅠㅠ

아래는 vultr 에서 남겨준 관련로그입니다. 127.0.0.1 은 제 서버IP 이고요.

 

Your server with IP 127.0.0.1 was used to attack our system
Here is the log
127.0.0.1 - - [25/Aug/2016:08:22:00 +0200] "GET
/?param=-1+UNION+SELECT+GROUP_CONCAT(table_name)+FROM+information_schema.tables
HTTP/1.1" 302 5 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64)
AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21"
127.0.0.1 - - [29/Aug/2016:03:47:00 +0200] "GET
//mailing/output.php?id=2&bVKg%3D9640%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23
HTTP/1.1" 200 2654 "-" "sqlmap/1.0.8.19#dev (http://sqlmap.org)"
127.0.0.1 - - [29/Aug/2016:04:03:34 +0200] "GET
///auto/renew_order.php?id=&LYua%3D7219%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23
HTTP/1.1" 200 31 "-" "sqlmap/1.0.8.19#dev (http://sqlmap.org)"
127.0.0.1 - - [29/Aug/2016:04:06:25 +0200] "GET
///auto//epp.php?sha=1&GyLz%3D9321%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23
HTTP/1.1" 200 1453 "-" "sqlmap/1.0.8.19#dev (http://sqlmap.org)"
127.0.0.1 - - [29/Aug/2016:05:05:42 +0200] "GET
///auto//epp.php?sha=1&StHx%2F%2A%21LIKE%2A%2F6251%2F%2A%21AND%2A%2F1%2F%2A%21LIKE%2A%2F1%2F%2A%21UNION%2A%2F%2F%2A%21ALL%2A%2F%2F%2A%21SELECT%2A%2F1%2C%2F%2A%21NULL%2A%2F%2C%EF%BC%87%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%EF%BC%87%2Ctable_name%2F%2A%21FROM%2A%2Finformation_schema.tables%2F%2A%21WHERE%2A%2F2%3E1--%2F%2A%2A%2F%3B%2F%2A%21EXEC%2A%2Fxp_cmdshell%28%EF%BC%87cat%20..%2F..%2F..%2Fetc%2Fpasswd%EF%BC%87%29%23
HTTP/1.1" 200 1453 "-" "sqlmap/1.0.8.19#dev (http://sqlmap.org)"
61.220.191.197 - - [07/Sep/2016:10:38:58 +0200] "GET
///auto//epp.php?sha=1&cegf%3D2058%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23
HTTP/1.1" 200 1453 "-" "sqlmap/1.0.6.53#dev (http://sqlmap.org)"
23.81.140.3 - - [18/Oct/2016:09:18:09 +0200] "GET
/auto/epp.php?sha=1%27%20union%20Select%201,count(*),concat(0x3a,0x3a,(select%20user()),0x3a,0x3a,floor(rand(0)*2))a,4,5,6,7,8%20from%20information_schema.columns%20group%20by%20a%23
HTTP/1.1" 200 1725 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:49.0)
Gecko/20100101 Firefox/49.0"

 

 

이게 누가 공격을 한것이고, VULTR쪽에는 뭐라고 답변을 보내야 할까요?

혹시 저런공격을 막기 위한 방법이 있는지 해결책을 좀 알 수 주실 수 있을까요?

 

회원님들 위와 관련하여 도움이 될 만한 블로그나 방어법을 알려주시면 정말 감사 하겠습니다. ㅠㅠ

  • ?

    일단 아래 잡히는 ip주소는 흔한 프록시 외국 ip이구요.

    /auto/epp.php 이파일이 뭘 하는 파일인지 모르겠는데요.
    해당파일을 이용해서 sql명령어나 기타 명령으로 해킹하는것으로 보이네요

    /auto/epp.php 파일이 그누보드에서 무엇을 하는지 모르겠습니다.
    프록시니 이미 ip주소 바꿨을테니 ip차단해도 무의해보이구요.

    /auto/epp.php 파일이 그누보드에서 어떤역할을 하는 파일인지 파악해서 필요없으면 삭제하시고
    필요하다면 그누보드쪽에 문의 남겨서 해당파일에서 보안을 강화하는게 좋을거 같습니다.

    그누보드 취약점이라면 그누보드쪽에 남기는게 더 빨리 해결할수 있을거 같습니다.

  • ?
    답변 감사합니다. /auto/epp.php 라는 경로와 파일은
    실제 서버에 없는 경로와 파일입니다.

    잠시 검색해보니 file2ban 등을 보안을 위해서 많이 사용하는거 같은데
    도움이 될까요?

    일단 뭘 해보려고 해도 서버가 내려가서 제가 다시 켜지지도 않고
    관리자에게 방화벽등 해킹방어를 위한 시도를 할테니 다시 열어달라고 하면 열어주는걸까요-0-??
  • profile
    fail2ban은 진짜 효과를 보기란 어렵습니다. 차라리 기진곰님에게 서버세팅을 의뢰하시는게 좋을 것 같아요
    서버에 초보시라면 뭘 해도 같은 경우를 재반복되게 됩니다. 그럴땐 확실하게 서버에 아시는 분이 손을 한번 대 주시는게 가장 좋아요. 늦지않도록 해결되시길 바랍니다.
  • ?

    다시 보니 날짜가 맨마지막이 10월18일 입니다.
    로그를 지웠는지 아니면 해킹후 악성코드등을 10일동안 배포하다가 차단됐는지는 모르겠네요
    기진곰님이 서버전문가시니 금전적인 문제만 없다면 맡기시는게 더 나을수 있을거 같습니다.

  • ?

    기진곰님이 이사이트에서는 서버쪽 최강입니다.
    웹호스팅을 사용하셨다면 아무래도 해킹을 안당하셨을텐데
    vps라는건 전문가가 아니면 함부로 손대면 안된다고 생각합니다.

    기진곰님께 문의해보세요.

  • profile

    단지 공격의 피해자가 되었다는 이유만으로 서버를 차단하거나 티켓을 열지는 않습니다. 님의 서버가 좀비PC가 되어서 다른 서버를 공격하고 있기 때문에 다른 서버를 보호하기 위해 님의 서버를 삭제하겠다는 얘기입니다. 즉 님의 서버는 이미 오래 전에 뚫렸고, 이제는 해커가 님의 서버를 사용해서 다른 서버를 공격하고 있는 상황입니다. 이미 뚫렸으므로 fail2ban이나 일반적인 방화벽을 추가하는 것은 도움이 되지 않습니다.

     

    /auto/epp.php는 공격당한 서버 쪽에 있는 파일입니다. 님의 서버는 공격당한 것이 아니라 공격을 하고 있으니, 님의 서버에는 없을 수도 있지요. 아마 그누보드의 취약점을 통해 악성코드가 업로드되었거나, FTP 또는 SSH 계정이 해킹되어 악성코드가 설치된 것으로 보입니다. 로그 기록으로 보아 sqlmap이라는 악성코드인 듯 하네요.

     

    이게 어디 있는지 찾아서 제거한 후 vultr에 알려야 합니다.

  • profile
    님 서버가 다른 사이트를 공격하고 있군요.
    sqlmap은 취약성 침투 테스트를 하는 툴(오픈소스입니다.)
    2가지 경우를 가정해야 합니다.
    1. 웹서버가 뚤린 경우
    스팸글,댓글이 있나.
    게시글 댓글 중에 악성스크립트가 있는 것이 있나 확인 후 제거.
    2. 서버가 뚫린 경우
    서버 계정을 탈취당했다면 답이 별로 없습니다.
    서버 os부터 다시 클린 설치 하시는 좋을 듯합니다.