텍스트큐브 XSS 해킹 정리 및 막는 방법
- Internet
- 2009. 9. 29.
텍스트큐브 XSS 해킹 정리 및 막는 방법
http://svestnik.ru:8080/index.php
http://tiqt.ru:8080/index.php
http://icq-mobila.ru:8080/index.php
http://tel-icq.ru:8080
http://age-bio.ru:8080/index.php
http://medical-static-center.ru:8080/index.php
http://bio-oib.ru:8080/index.php
http://yourbio.ru:8080/index.php
XSS 크로스사이트 스크립트라고합니다. 보안 쪽에서 사용하는 용어죠..
아이프레임으로 공격을 하는 것을 의미하는데...
지금 부터 제가 설명하는 말은 추측입니다... 저도 계정을 발급받아서 호스팅을 받는 입장이라서
루트 권한이 없어서 로그 검색 권한이 없어서 정확하게 어떤 루트로 해킹이 된 것인지 분석을 불가능합니다.
대충 상황을 보면...
이 해킹은 해킹 툴에 의한 해킹 같습니다.
그런데 기존의 XSS 해킹과는 다르게 직접 FTP 계정을 뚫고 들어와서 해커의 IP를 숨겨서
IP가 랜덤하게 로그에 찍히는 것 같습니다.
그래서 호스팅 담당자들도 해커를 찾아내기 힘들어 하는 것 같더군여,.
고가의 웹방화벽을 사용한다면 클릭 몇 번으로 막을 수 있겠지만 대부분 웹나이트나 모듈시큐어리티 같은 공개된 솔루션을 사용하니
URL 차단으로는 한계가 있죠
보시다시피 URL이 랜덤하게 아이프레임으로 들어오니까요..
처음에는 제가 러시아 사이트를 자주 방문해서 그런가 했습니다.
ru, su 도메인이 러시아 도메인이거든요
하지만, 검색을 해보니 다른 분들도 러시아 도메인으로 해킹을 당하는 것을 보고는 그런게 아니라고 생각했습니다.
JPEG 파일로 해킹이 가능하지만
링크가 아닌 다운로드해서 재 업로드는 해킹이 어렵다고 하네요
결론적으로 해킹 툴에 의한 실질적은 FTP 계정을 뚫고 들어오는 것 같습니다.
비밀번호는 6자리 이하는 간단하게 해킹 툴로 뚫기가 쉽습니다.
저는 기존에 8자리를 사용했는데 뚫렸더군요.
그래서 이번에 특수문자로 비밀번호를 만들었습니다.
그런데... 아이러니하게도 보안쪽에서는 특수문자가 해킹에 많이 사용되기에 정말로
보안을 어느 정도 아는 관리자는 특수문자를 사용 못하게 합니다.
역시나 제가 호스팅 받는 곳에서도 특수문자로 FTP 비밀번호를 초기에 못 만들게 되어 있더군요
변경 신청하니 가능은 하지만요.
특수문자로 DB 해킹이 손쉽게 이루어져서 그런가 봅니다.
결론적으로 러시아 도메인으로 아이프레임 공격이 계속 들어온다면
FTP 비밀번호를 어렵게 만드세요
물론 ssh
mysql 비밀번호도 변경하시구요
ssh 비밀번호는 로그인 후
# passwd 로 간편하게 변경이 가능합니다.
FTP, mysql 비밀번호는 허접한 호스팅은 변경신청해야할테도 나름 프로그래밍 되어 있는 곳은 바로 수정 신청이 가능할 것 입니다.
저도 일단 비밀번호 변경하고 추이를 지켜보는 중입니다.
하루에 2,3,4번 해킹당하던게 없습니다.
확실히 비밀번호 변경하니 사전파일 돌리는데 시간이 걸리는가 봅니다.
비밀번호 어렵게 변경하세요
http://svestnik.ru:8080/index.php
http://tiqt.ru:8080/index.php
http://icq-mobila.ru:8080/index.php
http://tel-icq.ru:8080
http://age-bio.ru:8080/index.php
http://medical-static-center.ru:8080/index.php
http://bio-oib.ru:8080/index.php
http://yourbio.ru:8080/index.php
XSS 크로스사이트 스크립트라고합니다. 보안 쪽에서 사용하는 용어죠..
아이프레임으로 공격을 하는 것을 의미하는데...
지금 부터 제가 설명하는 말은 추측입니다... 저도 계정을 발급받아서 호스팅을 받는 입장이라서
루트 권한이 없어서 로그 검색 권한이 없어서 정확하게 어떤 루트로 해킹이 된 것인지 분석을 불가능합니다.
대충 상황을 보면...
이 해킹은 해킹 툴에 의한 해킹 같습니다.
그런데 기존의 XSS 해킹과는 다르게 직접 FTP 계정을 뚫고 들어와서 해커의 IP를 숨겨서
IP가 랜덤하게 로그에 찍히는 것 같습니다.
그래서 호스팅 담당자들도 해커를 찾아내기 힘들어 하는 것 같더군여,.
고가의 웹방화벽을 사용한다면 클릭 몇 번으로 막을 수 있겠지만 대부분 웹나이트나 모듈시큐어리티 같은 공개된 솔루션을 사용하니
URL 차단으로는 한계가 있죠
보시다시피 URL이 랜덤하게 아이프레임으로 들어오니까요..
처음에는 제가 러시아 사이트를 자주 방문해서 그런가 했습니다.
ru, su 도메인이 러시아 도메인이거든요
하지만, 검색을 해보니 다른 분들도 러시아 도메인으로 해킹을 당하는 것을 보고는 그런게 아니라고 생각했습니다.
JPEG 파일로 해킹이 가능하지만
링크가 아닌 다운로드해서 재 업로드는 해킹이 어렵다고 하네요
결론적으로 해킹 툴에 의한 실질적은 FTP 계정을 뚫고 들어오는 것 같습니다.
비밀번호는 6자리 이하는 간단하게 해킹 툴로 뚫기가 쉽습니다.
저는 기존에 8자리를 사용했는데 뚫렸더군요.
그래서 이번에 특수문자로 비밀번호를 만들었습니다.
그런데... 아이러니하게도 보안쪽에서는 특수문자가 해킹에 많이 사용되기에 정말로
보안을 어느 정도 아는 관리자는 특수문자를 사용 못하게 합니다.
역시나 제가 호스팅 받는 곳에서도 특수문자로 FTP 비밀번호를 초기에 못 만들게 되어 있더군요
변경 신청하니 가능은 하지만요.
특수문자로 DB 해킹이 손쉽게 이루어져서 그런가 봅니다.
결론적으로 러시아 도메인으로 아이프레임 공격이 계속 들어온다면
FTP 비밀번호를 어렵게 만드세요
물론 ssh
mysql 비밀번호도 변경하시구요
ssh 비밀번호는 로그인 후
# passwd 로 간편하게 변경이 가능합니다.
FTP, mysql 비밀번호는 허접한 호스팅은 변경신청해야할테도 나름 프로그래밍 되어 있는 곳은 바로 수정 신청이 가능할 것 입니다.
해킹당하면 루트의 index.php 하단에 아이프레임이 들어갑니다. 그소스만 삭제하시고 덮어쓰기하세요
플러그인 폴더의 모든 index.php 파일도 변경이되는데 본인이 직접 검색해서 따로 올린 플로그인은 index.php 하단 수정하시고 나머지 플러그인은 텍스트큐브.org 에서 다운로드 받아서 덮어쓰기하세요...일일이 변경할려면 힘듭니다.
스킨디렉토리는 소스변경이 없습니다.주의 하실점은 원본 소스에서 변경하셨다면 원본 소스에 최신 변경된 정보가 있는게 아니고 customize밑에 1 디렉토리 밑에 있습니다. 이것을 본인이 사용하는 스킨 디렉토리로 복사해서 백업해두고 일괄 덮어쓰기하면되겠죠. 덮어쓰기 후에 퍼미션(권한)을 707이나 777로 주는 거 잊지 마시구요 안 주면 스킨 수정할 때 권한 없다고 나옵니다.
텍스트큐브에서 소스 다운로드 받아서루트의 index.php 그리고 플러그인 폴더와 attach 폴더 빼고 그리고 백업해둔 스킨 디렉토리 덮어쓰기하면 예전 모습으로 복원됩니다.
저도 일단 비밀번호 변경하고 추이를 지켜보는 중입니다.
하루에 2,3,4번 해킹당하던게 없습니다.
확실히 비밀번호 변경하니 사전파일 돌리는데 시간이 걸리는가 봅니다.
비밀번호 어렵게 변경하세요