질문/조언질답게시판

5.2에서 5.3으로 php버전을 올려 이전 했습니다 같은 웹호스팅사이기에 이전된후 크게 문제가 된건 없었습니다만

 

2가지 증상이 이상증세를 보여주었습니다.

 

 

1. 파일첨부가 증발되는 문제

 

2. 게시판스킨을 변경 했음에도 불구하고 목록리스트에서는 변경되지 않고 컨텐츠를 클릭하면 변경이 되있습니다 다시 목록리스트 클릭하면 변경전이고요..

 

 

1번문제를 해결하려고  xe/files/cache 삭제하라고 하길래 캐시폴더를 날렸습니다. 그리고 어드민에서 캐시재생성 누르려고 하니

404애러를 뿜어내서 어드민이든 홈페이지 접속 자체가 안되요 ㅠㅠㅠ

 

이거 어떻게 해결해야할까요..? 공홈에서는 캐시폴더 삭제되도 폴더가 다시 생성된다고 하는대 저는 생성안되고 404애러가 나오내요..

  • ?
    xe/files/cache 를 직접 삭제하는게 아닙니다... 캐시파일 재생성 버튼만 눌러주시면 되는데...
    FTP로 보았을 때 xe/files 내에 images 디렉토리는 멀쩡히 있나요?
    그리고 그 외 파일들은 멀쩡한가요?
  • ? ?

    0002.jpg

     

    디렉토리를 보았을때 말씀하신 

     images  폴더는 보이지가 않아요 ㅠㅠ

  • ? ?
    아.. attach 안에 있는 폴더에요 ㅎㅎ
    FTP 로 혹시나 다른 디렉토리도 지우셨나 했어요. 다행히 그러진 않으셨네요.
    복원할 수 있을거에요
  • ? ?
    /html 에 index.php 파일이 있는지 확인해주시겠어요?
  • ? ?
    공홈되로 캐시폴더는 통재로 삭제해도 된다하여서 했는대 이러한 사태가 발생했내요 ㅠ 복원이 가능하다는대 방법좀 알수 있을까요..?
  • ? ?
    캐시는 말 그대로 캐시라서 다른 파일이 정상이면 다시 생성돼요. 지금 다른 문제가 있는 것 같아요.
  • ? ?

    0003.jpg

     

    존재하고 있어요

  • ? ?
    혹시 파일을 전부 다운받았다가 FTP로 업로드 다시 하신건가요?
  • ? ?

    index.php 열어보니깐 이렇게 되있내요..?

     

    0004.jpg

     

    0005.jpg

     

  • ? ?
    아니요 php버전 업데이트 할때는 호스팅회사에서 진행해주었고 htm_old 때문에 그런건가요? 이전에 복원 때문에 생기고 삭제가 안되내요..
  • ? ?
    어이쿠
  • ? ?
    ;;; 초보라서 죄송합니다
  • ? ?
    아뇨아뇨... 저도 초보라면 초보인걸요.. 그런데 index.php 가 변형되었는데... 일부러 하신건 아니죠?
  • ? ?
    네.. 인덱스 파일은 안건들었어요..
  • ? ?
    좀 이상하긴 한데... (털린거 같은...) 건드린게 없다면 (코어 수정을 안했다면) 제가 제 사이트 라고 생각하면 XE Core를 다운받아서 덮어 쓸거 같아요.
    코드가 좀 이상하네요..
    덮어쓰면 큰일이 나려나... 제 수준을 넘는 문제인거 같아요.. (코드 해독 불가)
    @CONORY 님, @람보 님, @기진곰 님, @YJSoft 님 등등 도와주세요!
  • ? ?
    털릴만한 사이트도 아닌대..ㅠ 일단 해당 코어로 덮어씌우기 해볼게요 변조되었다니 ㅠㅠ
  • ? profile
    딱보니 해킹이네요! 일부러 저렇게 할 사람이 어딨어요 ㅠㅠ
  • profile
    캐시폴더는 지워도 접속하면 자동으로 재생성됩니다.

    대충 내용을 보니 파일이 변조된 것 같은데,

    차라리 XE 최신버전을 받아서 덮어쓰기 하심이 좋을 듯 합니다. (자체 커스텀하신 게 없다면요)
  • profile ?
    하늘희님 말대로 한번 해보겠습니다.
  • profile ?
    왜 변조된건지 찾긴 어렵겠죠?..
  • ? profile

    글쎄요.. 저도 저런 건 처음봐서요..-_-;;

    혹시 해킹의 인한 공격이였을까요?

    아니면 서버단에서 뭔가를 해주려고 한 것일지도.....모르겠네요;; (특정 애드온이나 뭔가를 쓰기 위해 그랬을지도..?)

  • profile ?
    선의로 넣은 코드 치고는 코드를 지나치게 감춰서 의심스럽긴 해요
  • ? profile
    특별히 XE를 수정한 것이 없으면 그대로 덮어쓰기 진행하셔도 되지만,

    만일 코어를 임의로 수정한 부분이 있다면 작업해둔 내역이 날라갑니다.

    따라서 백업 후 진행하기를 권장합니다.
  • ? profile

    네 그것도 index.php에 넣어둔 거 보면...

     

    하지만 이쪽은 전혀 모르다보니... 아무것도 모르겠습니다..T^T

  • ? profile

    대충 구글링 해보니까 백도어 일 가능성이 높다고 하네요.
     

    참고링크

    https://security.stackexchange.com/questions/70579/is-this-a-backdoor/71119

     

    코드가 완전 똑같은데요? 덜덜덜 

  • profile ?
    덮어씌우기는 하였는대 인덱스파일도 정상적으로 돌아왔으나..404 애러는 그대로내요
  • profile ?
    ㅠㅠ 저같은 사이트에게 백도어라니... 웹호스팅 이용하고 있는대 가능한건가요 ㅠㅠ;;
  • profile ?
    헐.... 어떻게 넣은걸까요
  • ? profile
    웹호스팅을 사용해도 사용하고 있는 php(xe등)에 취약점이 있으면 가능합니다.
  • ? profile

    캐시 폴더를 또 완전히 삭제해보세요.

     

    물론 캐시폴더는 files/cache 녀석이겠죠.. 상황에 따라 cache_124901274 이런게 있을 수도  있다면 같이 지워야~

  • ? ?
    FTP 비밀번호가 털렸다든지 (무작위 대입으로도 가능)
    정말 호스팅 서버가 털렸다든지.. (이건 대형 사고)
    님 노트북이 털려서 해커가 마음껏 접속중이라든지...

    여러 가능성이 있죠@[email protected]
  • profile ?
    그런가요.. 이전에 심었나..

    어제까지만 해도 5.2.17 php버전에 1.8.9 사용중이였고

    오늘 5.3.28 php버전으로 업하면서 최신코어 1.8.12로 업데이트 했거든요..
  • ? ?
    아...ㄷㄷㄷ 재컴이라고 하니깐 갑자기 무섭네요;;
  • profile ?
    덮어씌우기 했는대 그래도 사이트는 404애러라서 그런지 FTP에서 cache폴더 자체가 없어요
  • ? profile
    그래도 안된다면 다른 문제인 듯 합니다.
  • ? profile
    덮어쓰기했다고 해서 기존 cache 파일이 사라지지 않습니다.

    또한 cache 파일이 없으면 자동으로 캐시폴더가 생성됩니다. (사이트 접속시 )
  • ? profile

    여러가지로 볼 수 있죠... PC를 통한 감염, 서버털림, FTP 비번노출, php 보안취약점 등등등...

     

    아니면 호스팅 업체에서 사용하는 코드일지도..?

  • profile ?
    사이트 접속해도... 404애러 그대로 뿜어내내요.. 어쩔수없이 호스팅사에 백업은 요청하였고 하늘희님이 지적해주신 백도어 부분도 같이 문의했어요
  • ? profile

    404 에러라는 건

    말그대로 페이지가 존재하지 않는다는 에러입니다.

     

    사이트 주소가 어떻게 되는지 모르겠지만,, 끝에 사이트주소솰라솰라/index.php 이렇게 접속해보세요

  • profile

    본문 내용 좀 발췌하자면.. (구글번역)

    위 코드는 특정 조건이 일치 할 때 정상적인 페이지를 반환하여 주요 검색 엔진 및 사이트 관리자에 의해 탐지를 회피 할 수있다.

    악성 코드를 호스팅 서버 요청이 감염된 서버에서 오고 있는지 확인하기 위해 몇 가지 검사를 수행하기 때문에 코드는 아마도 추가되어 무엇인지 찾을 수 없었다.

    그것은 워드 프레스 취약점의 패치되지 않은 버전에서 변조된 것으로 보인다 MailPoet의 플러그인.
    이것은 해커가 워드 프레스 테마에 관리자의 자격 증명을 가진 악의적인 스크립트를 업로드하고 URL로 이동하여 해당 파일을 실행할 수 있습니다.


    ============

    보니 이 사람은 워드프레스를 통해 감염되었나봅니다.

  • ? profile

    index.php가 변조되었다면 님 컴퓨터를 통해 FTP 비번이 빠져나갔을 가능성이 충분히 있습니다. 원래 퍼미션이 777이 아니었다면 특히...

    파일질라 등 일반적인 FTP 프로그램들의 아이디/비번 데이터를 노리는 바이러스도 있어요.

  • profile ?
    일단 컴퓨터도 살펴봐야할거 같아요 ㅠ
  • profile ?
    이런 애러 하나 때문에 초보인 저는 많은걸 배우내요 ㅠ 404애러도 정확하게 인지했어요.. 현재는 백업중인대 코드 변질된 부분은 아직 답변이 없내요 ㅠㅠ
  • ? profile
    추가로 자주 볼 수 있는 에러는

    403 권한문제, 페이지에 접근할 권한이 없음
    404 페이지가 존재하지 않음
    500 서버 에러 (각종 에러, php 문법 오류등등 포함)
    503 트래픽초과
  • profile ?
    하늘회님 말씀대로 일단 백도어라고 하내요 침탈시기는 9월 달이라는대 ㅡㅡ;; 회원수도 적고 글을 쓰는건 저뿐인대 이렇게한 이유는 뭘까요.. 백업이 되어서 정상적으로 돌아왔고 호스팅업체에서는 백도어코드를 전부다 삭제를 해주었다는대 갑자기 무서워지내요 ㄷㄷ
  • profile ?
    추가로 컴퓨터 바이러스 걱정되어서 설치된 어베스트로 바로 검사했는대 나오지 않아서 추가적으로 v3하고 했지만 바이러스나 악성코드는 문제가 없더라고요.. 일단 FTP 비번이나 이런거 변경 요청해야할거 같내요 ㅠㅠ
  • ? ?
    미솔님 소중한 시간에 답변주셔서 감사해요 호스팅사에서 백업요청하여 복원 하였고 백도어는 맞다고 호스팅업체에서 그러내요 ㄷㄷ
  • ? profile
    해킹은 사용자가 많건 적은 걸 따지지 않습니다. 그냥 장난삼아 하는 사람도 있고, 이것저것 모으기 위해 하는 사람도 있고 악의를 가지는 사람도 있고 다양하니까요..

    어쨌든 원복되셨다니 다행이네요
  • ? profile
    그 외에 xe 보안 취약점으로 뚫린 것일 수도 있으니 최신 버전으로 사용하시기 바랍니다.
  • profile ?
    네 최신버전으로 유지해야할거 같아요 감사합니다 ^^!!
  • ? ?
    화이팅!!
  • profile
    저도 곧 php 5.5 로 바꿀 예정인데..
    이런 오류라니, 하기 겁나네요 ㅠ..
  • profile ?
    오류라기 보다는 백도어가 맞다고 해요 ㅠ