질문/공유질답게시판

사이트 백도어문제 입니다.

크루밍

안녕하세요

 

저번에도 php업그레이드가 문제인줄 알았다가 나중에 백도어 문제라 호스팅사에 문의하여 결국에는 백업을 하여

 

처리는 하였는대요.. 이번에 웹문서가 문제가 발생하여서 이것저것 확인하다가

 

ftp에서 신디케이션을 바탕화면으로 폴더를 다운을 받았는대 어베스트에서 php백도어 감지됬다고 뜨더군요..

 

 

현재 1.8.14코어 사용중이고 php는 5.3.28입니다..

 

0001.jpg

이렇게 떠서 일단 확인부터 해보자해서 위 리스트에 떠있는 7개 php파일 열어보니

 

0002.jpg

 

이런식으로 되버리내요 ㅜㅠ 애효.....

 

1달도 안된거 같은대 또 이러니 답답하는대..

 

궁금한거는 이것은 제가 막아야 하는건지 아니면 호스팅사에게 말해야하는건지 모르겠습니다.

 

현재 사용하고 있는건 웹호스팅이고요.. 어떻게 하는게 가장 좋을까요 ㅡㅡ;?

 

지금한번 ftp안에있는거 다다운받고 어베스트 돌려볼려고 하는대 이런건 검색해도 잘안나오내요;;

 

 

 

추가--------------

 

0003.jpg

 

xe폴더를 통채로 ftp에서 다운받아서 어베스트 검사해보니..

 

모든 모듈이 백도어?에 감염된거같내요... ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ 흐아 

위로 아래로
댓글 8
  • ?
    일단 검사에 걸린 upgletyle, exam 모듈 모두 서드파티 모듈이네요. 검색해봤더니 업데이트가 끊긴지 오래된 모듈... 아마도 오래된 보안취약점을 뚫고 들어와서 파일을 변조한 것 같다는 추측을 해봅니다.

    그리고, 이글 보시는 분들중에 VPS쓰시는 분들께 질문하나 드립니다. 해외 VPS를 사용하려고 하는데 그 서버의 보안대책은 어떻게 강구하시는지 궁금합니다. 비전문가입장에서는 이 부분이 많이 걱정되어서 국내 웹호스팅에 머무르고 있네요. 별도로 설정해줄 것이 있는지, 즉각즉각 리눅스와 php 업데이트를 실행하시는지요.
  • ? ?
    초보입장에서 이해하기 쉽게 답변해주셔서 고맙습니다
  • ?

    1. upgletyle, exam 모듈이 아니더라도 다른 모듈에서 해당 모듈을 공격할 수 있어요.

    2. 국내 웹호스팅은 안정성 문제로 PHP 버전등을 잘 올리지 않는것 같아요. 그리고 취약한건 웹호스팅이 더 취약하다고 생각해요. 그 서버에 설치된 계정(PHP)중 하나만 공격에 성공해도, 같은 서버에 설치된 모든 계정 공격이 가능합니다.

    보안대책의 경우 모든 업데이트가 나오는 즉시 바로바로 해줍니다. 우분투/데비안의 경우 apticron 사용하시면 업데이트 필요할때 마다 꼬박꼬막 이메일이 날라와요. mod_security 등의 WAF도 설치하시면 좋긴한데, 저는 귀찮아서 설치 안했어요.

    추가적으로 XE files 디렉토리를 제외한 나머지 디렉토리에는 PHP권한으로 쓰기 불가능하도록 하면 저렇게 PHP파일이 바뀌는건 막을수 있습니다.

  • ? ?
    일단 최신버전이니 최신코어 새로 받고 덮어씌운다음 php 쓰기권한을 막는게 좋을까요 ㅠㅠ?
  • ? ?
    네, 그리고 사용하지 않는 모듈은 제거하는것도 고려해보세요.
  • ? ?
    네 감사합니다 ! 한번 해보고 내일 경과 지켜봐야겠내요 다시한번 고맙습니다.^^
  • profile
    어느날 누가 원격제어로 컴퓨터 고쳐 달라고 해서 팀뷰 제어해서 고쳐 주었는데 그날이후부터 이상하게 1.8.14버전의 몇몇 애드온이 작동을 안하네요 !! 이것 혹시 백도어로 사이트 변조한것 같은데 백도어 찾는 방법아시나요?
  • profile ?

    의심되는 php파일을 열어보면 알수없는 문자열로 나오게 되더라고요. 이전에도 동일하게 당했는대.. 그때 하늘희님께서 링크해주셔서 좀더 정확했습니다. https://security.stackexchange.com/questions/70579/is-this-a-backdoor/71119

    저의 첫번째 질문은 https://xetown.com/qna/33616 여기에서 시작되었고요.. 저도 초보라 이렇게밖에 모르내요 ㅠ