해킹이 의심되는 파일들 발견…

흠 그동안 관리를 잘 안했더니, 확실히 여러가지 문제들이 생긴 것 같다. 서버 이전 전에 왠만한 문제들은 해결하고 가는게 좋을 것 같아서 파일들을 좀 살펴봤는데, 변조된 파일로 보이는 파일들이 많이 보인다. 대강 아래와 같은 식의 요상한 데이터가 덮어씌워져 있는데…

문자열을 \\xHEX 형식으로 치환해놔서 그냥 보기에는 어떤 내용인지를 쉽게 알아볼 수가 없고, pattern matching 해서 찾아내기에도 드럽게 해놨다. -_- 나뿐 놈들…

도대체 어떤 코드를 넣어놨나 궁금해서 아래 코드를 이용해서 눈으로 볼 수 있는 형태로 치환해봤는데…

흠 우선 문제가된 파일은 정상 변환이 된다. 대강 아래와 같은 형태의 코드가 나왔는데…

딱 보기에도 뭔가 정상적인 사람이나 프로그램이 짜서 넣었을거 같은 코드는 아니다. 살펴봐야 하겠길래 ; 뒤에 줄바꿈을 넣고 코드를 살살 보기 시작했는데, 아래와 같은 코드가 보이는걸 보니 code injection hack이 맞는 듯.

변조된게 이 파일 뿐일리가 없으므로 이런식으로 변조된 파일들을 더 찾아내기 위해 아래와 같은 스크립트를 작성해서 ~/check.sh란 이름으로 저장을 했다.

그러고 아래와 같은 커맨드를 통해 변조된 파일을 찾으려고 시도했는데…

이런, xargs 로 넘기기에는 큰 파일들이 있나보다. 간간히 변환에 실패했다는 에러가 보인다. OTL 이런건 뿌리뽑지 않으면 다시 또 다른 파일들을 변조시킬 것으므로 한번에 다 잡아야 하므로 xargs/echo을 대체할 필요가 생겼다. 하지만 난 프로그래머니까!

간단하게 코드를 하나 짜서 ‘xargs -0 echo’ 를 이 툴로 대체해버렸다. 휴~ 잘 동작한다.

대부분 script들에서 생성해내는 cache 파일들이라 지워버리고 재생성하도록 놔두면 될 것 같긴 한데, 일부 그렇지 않은 파일들이 보인다. ㅠ.ㅠ 정리해서 주인들한테 고치고 아파치가 덮어쓸 수 없게 퍼미션 좀 잠시 조정해달라고 얘기를 좀 해야할 듯.

오늘의 삽질일기 끝!

Published by

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">