얼마전에 질답게시판에도 올렸는데

xss공격을 당했다는 사실은 진작부터 알았지만

뭐 웹호스팅인데 별일 있겠어? 하면서 그냥 내던져두기도 했고

요새 새로 생긴 취미생활 활(국궁)에 푹 빠져서 들여다보기도 싫고 해서 그냥 내비리 뒀었는데요.

 

며칠전 네이버검색으로 제 홈페이지를 띄워보니 일본 sanwa가 뜨고 있었습니다.

이게 폰에서만 그렇게 되고 있더군요.

 

아 이거 그냥 놔둬서는 안되겠다 싶어서

청소를 시작했는데... 

 

일단 라이믹스만 덮어서는 안된다는걸 알았습니다.

라이믹스를 public_html 상위폴더에 깔아두고 

일일이 비교하면서

쓸데없는 놈들을 하나씩 BACKUP폴더에 옮겨가면서 작업을 시작했습니다.

 

일단 라이믹스를 rsync로 덮어두고 시작했고요. 

(해킹을 당한시점은 xe 구버전 쓰던 시점입니다.)

 

제일먼저 public_html 부터 점검해봅니다.

httpd.conf 라는 이름으로 스크립트가 있고

(그외에도 요상한게 몇 있었는데 이름을 기억 못하겠습니다. 다 지움)

 

.htaccess  index.php 에 변조를 확인했었는데

(덮어쓰고 나면 또 변조되고의 반복이었습니다.)

 

grep 명령어로 하위폴더까지 싹다 뒤져서 htaccess 를 잡아보니

스킨이나 위젯 폴더등에 같은이름으로 하위폴더를 만들고 그속에 index.php   *.mov   *.xbm   이런 파일들이 들어있는걸 확인했고

/public_html/widgets/content/conf/conf   이런식

 

그속에는 index.php와 *.mov 이런게 들어있었습니다.
 

 

해당 폴더들을 일제히 rm -rf 명령어로 지워나가기 시작했습니다.

위젯이나 스킨 같은것들은 어차피 새로 받아 깔면 되는 것이기에 백업없이 막 지웠습니다.

 

find 명령어는 요래 쓰면 됩니다.

이런 문법도 생각이 안나서 검색해서 찾아야하고 참... 제 머리도 늙었나봅니다.

 

find . -name index.php
 

현재 라이믹스에는 index.php가 아래 두곳에 밖에 없습니다.

이거 둘을 제외한 나머지는 다~ 필요없을 확률이 매우 큽니다.

 

./common/framework/parsers/dbtable/index.php
./index.php

 

 

지워지는 놈들에게서 몇몇 특정 단어가 보입니다. 그런 단어들을 검색어로 찾아도 보고 또 그렇게 몇개의 의심스러운 놈들을 제거했습니다.

스크립트들을 보면 이상하게 꼬인 글자들이 많이 보이는데

특정한 단어가 패턴처럼 들어 있었습니다.

예를 들면 이런것들

 

grep -r "PEZpb"

grep -r "XKGbp"
 

보통 index.php를 find 해서 지운것으로만 대략은 해결되었고요.

 

지울때 좀 찝찝한것은 라이믹스 압출 풀어둔것과 비교해보고 또 지우고 ... 

 

혹시나 싶어 phpmyadmin 열어서 거기서도 몇몇단어들을 검색해봤는데

DB쪽에서는 흔적을 찾을수 없었습니다.

 

그렇게 오래걸리진 않았던거 같습니다.

다시한번 정상작동이 되는가 확인하고는

매일 들어가서 

 

find . -name index.php
 

요명령어를 돌려보는 중입니다.

 

 

한가지더 추가합니다.

하위에 각 폴더마다 .htaccess 파일이 가득~ 있습니다.

이걸 다 지워야하는데

ssh 로 들어가서 find 명령어로 지우기 가능합니다.

 

cd public_html  에  입장 후... 

 

find . -type f -name ".htaccess" -exec rm -f {} \;

 

._*  파일들도 모두 변조파일들로 확인되어서...  그것들도 지워줍니다.

 

find . -type f -name "._*" -exec rm -f {} \;
 

 

위에 index.php 들도 같은 요령으로 지워버렷으면 되었을것을

 

find . -name index.php -exec rm -f {} \;

 

일일이 지우는 수고를 시전했네요.

이런거 하시기전엔 꼭 백업해두고 진행하세요.

그리고 라이믹스 미리 git이나 ftp로 업로드 해두고 뭐가 엉뚱한게 지워지면  rsync  혹은 덮어쓰기 하시길 바랍니다.

 

...

 

 

도대체 얼마나 많이 있었던건지... 지우는데 정말 한참 걸렸습니다.

 

홈페이지가 지킬게 별로 없으면 그냥 새로 까는게 낫다는 말이 맞는거 같습니다.

 

 

 

완전 수동방식에 허접한 후기였습니다.

 

 . . .

 

 

새해맞이  빙어낚시 다녀왔습니다.

 

새해 복 많이 받으세요.

 

 

20221231_202444.jpg

 

20221231_202435.jpg

 

빙어텐트에 불빛은 참 이쁩니다.

각기 텐트마다 색상이 빛나면서 더욱 이뻐요.

 

 

 

20221231_183647.jpg

 

아주 오래된 고물 어탐기입니다.

 

수심 4.3미터에 2-3미터권에 빙어어군이 지나다니는게 보입니다.

어탐기의 설치목적은 빙어들이 어느위치에 머무는지 보고 거기를 노리기 위함입니다.

 

 

 

20221231_183639.jpg

 

빙어 작업장(?) 내부입니다.

 

허리가 아파서 롱릴렉스체어에

테이블까지 펴고 있습니다.

 

반사식 등유난로에

맥주 세팅하고

버너속에는 줄줄이비엔나 쏘시지가 익어갑니다.

 

빙어낚시는 낚시 그자체보다는 이런 분위기를 즐기게 되는거 같습니다.

 

 

20221229_220147.jpg

 

잡아놓은 빙어들... 

 

20221229_204626.jpg

 

빙어는 살이 매우 무르가 연한편이라서

뼈째 튀겨도 먹기에 아주 좋습니다.

 

생으로 드시면 안됩니다.

디스토마 걸려요

 

 

20221229_202615.jpg

 

집어등을 켜놨더니

빙어가 바로 아래까지 보입니다.

 

잘보면 빙어 보입니다.

 

 

 

글쓴이 goldworm

profile
반갑습니다.

루어낚시홈페이지 goldworm.net 을 운영중입니다.
  • profile
    그래도 어떻게 해결이 되셨다니 다행이긴 하군요.
    힘내시길 바래요!
  • profile profile
    홈페이지 때려치우려다가
    다시 다잡고 있습니다^^
    감사합니다
  • profile
    고생하셨습니다 ㅠㅠ
    빙어낚시는 엄청 분위기가 좋네요!
  • profile profile
    빙어낚시 빙밖모드로 해보면 정말 재미있습니다.
    대신에 거의 이삿짐수준입니다.
    체크리스트 만들어놨는데.
    차 안에 그냥 한가득 입니다.
    이사가는 수준입니다
  • profile

    사이트 대청소하느라 고생하셨네요. ㅠ

    순정 코어를 git으로 설치한 후, git status 명령으로 순정이 아닌 파일을 모두 찾아내는 방법도 있습니다. 모듈이나 스킨 폴더 사이사이에 숨은 악성코드나, 눈에 잘 안 띄게 변조된 파일을 찾는 데는 이게 가장 확실해요. 단, files 폴더는 git이 관여하지 않기 때문에 그 안에 들어있는 악성코드는 결국 수동으로 찾아야...

  • profile profile
    아 ... status !! 감사합니다.
    당장 실행에 옮기겠습니다.
    git 이거이거 정말 물건이더군요.

    30년전에 리눅스 처음알았을때도 대단하다 생각헸는데 끊임없이 발전하네요.

    files 속에서도 찾아서 지웠습니다.
  • profile
    고생하셨습니다!
    저도 낚시 좋아하는데 이번 겨울 빙어 낚시 도전해봐야겠어요.
    풀 장비는 아니지만 ..
  • profile profile
    거의 뭐 이사수준..^^
  • profile

    고생이 많으셨네요.

    포맷하고 백업에서 새로 설치하는 편이 빠를수도 있겠네요. 해커가 어디에다 무슨 짓을 해놨는지 다 찾는 것이 불가능에 가까우니까요. (웹호스팅이면 os쪽은 못건드렸을 것 같기는 합니다만, 서버라면 이게 더 큰 문제죠)

     

    평상시 /files (물론 cache와 thumbnail은 제외)와 DB를 백업해두고, 본인 레이아웃, 스킨, 서드파티 원본 보유하고 있으면서, 복구 매뉴얼을 잘 준비해놓으면 30분 이내로 서버 이전이 가능하더군요. 

  • profile profile
    하다보니 자꾸 지우게 되던데요
    안쓰는 애드온 위젯 스킨들 지워버립니다. 또 받으면 되니까요.

    새해 복 많이 받으세요
  • profile
    텐트 불빛이 눈에 띄는데
    깜깜한 밤에 텐트 불빛 실제로 보면 이쁘겠어요.
  • profile profile
    사진으로도 이쁘지만
    실제로도 같은 느낌입니다. 어쩌면 더 이뻐보이죠.

    실상은 추워서 텐트밖에 못나와있습니다. ^^