vultr.com vps를 사용중입니다.
티켓이 열린것을 모르고 며칠이 지나 vultr 쪽에서 서버를 중단했다고 티켓이 와 있네요.
네번째로 알려왔고 24시간내로 회신을 하지 않으면 해킹당한 계정을 삭제한다고 합니다.
우분투14.04 / NGINX / PHP5.5 / MYSQL 마리아디비이고,
XE를 쓰다가 그누보드 가장 최신버전으로 변경한 상태입니다.
서버세팅쪽은 초보라 깔라는것만 깐 상태이고
ufw allow 443
ufw allow 1022
열어놓았습니다.
따로 iptable?? 등은 설정한것이 전혀 없구요ㅠㅠ
아래는 vultr 에서 남겨준 관련로그입니다. 127.0.0.1 은 제 서버IP 이고요.
Your server with IP 127.0.0.1 was used to attack our system Here is the log 127.0.0.1 - - [25/Aug/2016:08:22:00 +0200] "GET /?param=-1+UNION+SELECT+GROUP_CONCAT(table_name)+FROM+information_schema.tables HTTP/1.1" 302 5 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21" 127.0.0.1 - - [29/Aug/2016:03:47:00 +0200] "GET //mailing/output.php?id=2&bVKg%3D9640%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23 HTTP/1.1" 200 2654 "-" "sqlmap/1.0.8.19#dev (http://sqlmap.org)" 127.0.0.1 - - [29/Aug/2016:04:03:34 +0200] "GET ///auto/renew_order.php?id=&LYua%3D7219%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23 HTTP/1.1" 200 31 "-" "sqlmap/1.0.8.19#dev (http://sqlmap.org)" 127.0.0.1 - - [29/Aug/2016:04:06:25 +0200] "GET ///auto//epp.php?sha=1&GyLz%3D9321%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23 HTTP/1.1" 200 1453 "-" "sqlmap/1.0.8.19#dev (http://sqlmap.org)" 127.0.0.1 - - [29/Aug/2016:05:05:42 +0200] "GET ///auto//epp.php?sha=1&StHx%2F%2A%21LIKE%2A%2F6251%2F%2A%21AND%2A%2F1%2F%2A%21LIKE%2A%2F1%2F%2A%21UNION%2A%2F%2F%2A%21ALL%2A%2F%2F%2A%21SELECT%2A%2F1%2C%2F%2A%21NULL%2A%2F%2C%EF%BC%87%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%EF%BC%87%2Ctable_name%2F%2A%21FROM%2A%2Finformation_schema.tables%2F%2A%21WHERE%2A%2F2%3E1--%2F%2A%2A%2F%3B%2F%2A%21EXEC%2A%2Fxp_cmdshell%28%EF%BC%87cat%20..%2F..%2F..%2Fetc%2Fpasswd%EF%BC%87%29%23 HTTP/1.1" 200 1453 "-" "sqlmap/1.0.8.19#dev (http://sqlmap.org)" 61.220.191.197 - - [07/Sep/2016:10:38:58 +0200] "GET ///auto//epp.php?sha=1&cegf%3D2058%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23 HTTP/1.1" 200 1453 "-" "sqlmap/1.0.6.53#dev (http://sqlmap.org)" 23.81.140.3 - - [18/Oct/2016:09:18:09 +0200] "GET /auto/epp.php?sha=1%27%20union%20Select%201,count(*),concat(0x3a,0x3a,(select%20user()),0x3a,0x3a,floor(rand(0)*2))a,4,5,6,7,8%20from%20information_schema.columns%20group%20by%20a%23 HTTP/1.1" 200 1725 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:49.0) Gecko/20100101 Firefox/49.0"
이게 누가 공격을 한것이고, VULTR쪽에는 뭐라고 답변을 보내야 할까요?
혹시 저런공격을 막기 위한 방법이 있는지 해결책을 좀 알 수 주실 수 있을까요?
회원님들 위와 관련하여 도움이 될 만한 블로그나 방어법을 알려주시면 정말 감사 하겠습니다. ㅠㅠ
일단 아래 잡히는 ip주소는 흔한 프록시 외국 ip이구요.
/auto/epp.php 이파일이 뭘 하는 파일인지 모르겠는데요.
해당파일을 이용해서 sql명령어나 기타 명령으로 해킹하는것으로 보이네요
/auto/epp.php 파일이 그누보드에서 무엇을 하는지 모르겠습니다.
프록시니 이미 ip주소 바꿨을테니 ip차단해도 무의해보이구요.
/auto/epp.php 파일이 그누보드에서 어떤역할을 하는 파일인지 파악해서 필요없으면 삭제하시고
필요하다면 그누보드쪽에 문의 남겨서 해당파일에서 보안을 강화하는게 좋을거 같습니다.
그누보드 취약점이라면 그누보드쪽에 남기는게 더 빨리 해결할수 있을거 같습니다.