FREEDOM. FRIENDS. FEATURES. FIRST.
페도라 한국 사용자 모임

리눅스 보안 관련 질문..

게시판 질문게시판 리눅스 보안 관련 질문..

  • This topic has 3개 답변, 3명 참여, and was last updated 10 years, 11 months 전에 by 닝구. This post has been viewed 20 times
  • 만든이
    게시글
  • #13044
    닝구
    참가자
    • 게시글3
    • 댓글2
    • 총합5
    • ★★
    @kk10009

    제가 관리하는 사이트가 있습니다.
    리눅스.

     

    그런데 다른 B 네트워크에서 우리 서버를 이용해 그누보드취약점 공격을 해왔다고 합니다.
    그래서 방화벽으로 저희서버 아이피를 완전히 막아 B 네트워크에 있는 개인 사용자들은 저희사이트에 접속을 하지 못하고 있습니다.

    현재 저희 웹서버에는 그누보드를 사용하는 사람은 없는것으로 확인되었고,
    로그(var/log 파일들)를 살펴보아도 명확히 뚫렸다는 증거를 찾지 못했습니다.
    어떤것을 더 살펴봐야 할까요.
    그리고 어떻게 저희 웹서버를 경유해(?) 공격할수 있는지 궁금하네요.

2 답변 글타래를 보이고 있습니다
  • 글쓴이
    답변
    • #14124
      NewB
      참가자
      • 게시글0
      • 댓글3
      • 총합3
      • ★★
      @newbcode

      그누보드의 취약점이라함은 공격코드를 php에 심어 백도어를 생성하게 하는 공격방법입니다.

      네트워크단에서의 공격이 이루어 지지 않아도 공격코드가 웜이 설치되고, 백도어가 생성되게 됩니다.

      루트킷을 이용하여 백도어를 찾아보세여

       

    • #14125
      ELem
      참가자
      • 게시글67
      • 댓글672
      • 총합739
      • ★★
      @Bardisch

      그누보드쪽은 잘 모르겠네요;;
      흐음... 경유하는 방법은 NewB님 말씀대로 백도어일 가능성도 있네요.

    • #14126
      닝구
      참가자
      참가자
      • 게시글3
      • 댓글2
      • 총합5
      • ★★
      @kk10009

      답변 감사드리구요,
      PHP Injection 이 있었던것 같습니다.
      php.ini의 allow_url_open 도 On 값으로 되어 있더군요.

      웹쉘이 올라왔는데 다 지우고, 보안취약점도 설정바꾸고, f-prot라는 리눅스용 백신까지 깔았습니다.

2 답변 글타래를 보이고 있습니다
  • 답변은 로그인 후 가능합니다.