리눅스 분류
php 핵킹... 도와 주세요.
작성자 정보
- 홍석범 작성
- 작성일
컨텐츠 정보
- 1,305 조회
- 0 추천
-
목록
본문
안녕하십니까? 씨디네트웍스 홍석범입니다...
올려주신 내용만으로 보았을때는...
웹서버에서 대량의 스팸메일을 발송하고 있다라는 말씀이시죠?
공격자의 입장에서 크게 두가지 방법으로 스팸을 발송할 수 있습니다.
첫번째는, 아주 오래된 방법이지만.. ssh/telnet을 원격쉘로 접근한 후 스크립트를 이용 발송하거나
두번째는 공격자의 입장에서 쉽고 원인을 찾기 어려운 웹해킹을 이용한 방법입니다.
올려주신 내용으로는 두번째인 가능성이 높아보입니다..
여러가지 방법으로 대응이 가능한데,
-. 제로보드의 경우 최신버전으로 패치
-. php 사용시 php.ini 에서 allow_url_fopen = Off 설정 (사이트 정상 작동여부 확인)
-. modsecurity를 이용, 웹해킹 차단등이 가능합니다.
참고로, modsecurity 사용시 아래의 설정만으로 해당 공격의 차단이 가능합니다.
SecFilterSelective REQUEST_URI ".php?" chain
SecFilterSelective REQUEST_URI "=(http|https|ftp):/" "msg:'PHP Injection Attacks'"
근본적으로는 php 구문상의 취약성이므로 이 부분을 fix하시는 것이 중요하고 프로그램으로 fix가 어렵다면 modsecurity로 대응하시는 것을 권장합니다.
아울러 일단 웹서버에서 메일을 발송할 일이 없다면 임시조처로 외부로 나가는 메일에 대해 아래와 같이 차단할 수 있습니다.
# iptables -I OUTPUT -p tcp --dport 25 -j DROP
감사합니다.
올려주신 내용만으로 보았을때는...
웹서버에서 대량의 스팸메일을 발송하고 있다라는 말씀이시죠?
공격자의 입장에서 크게 두가지 방법으로 스팸을 발송할 수 있습니다.
첫번째는, 아주 오래된 방법이지만.. ssh/telnet을 원격쉘로 접근한 후 스크립트를 이용 발송하거나
두번째는 공격자의 입장에서 쉽고 원인을 찾기 어려운 웹해킹을 이용한 방법입니다.
올려주신 내용으로는 두번째인 가능성이 높아보입니다..
여러가지 방법으로 대응이 가능한데,
-. 제로보드의 경우 최신버전으로 패치
-. php 사용시 php.ini 에서 allow_url_fopen = Off 설정 (사이트 정상 작동여부 확인)
-. modsecurity를 이용, 웹해킹 차단등이 가능합니다.
참고로, modsecurity 사용시 아래의 설정만으로 해당 공격의 차단이 가능합니다.
SecFilterSelective REQUEST_URI ".php?" chain
SecFilterSelective REQUEST_URI "=(http|https|ftp):/" "msg:'PHP Injection Attacks'"
근본적으로는 php 구문상의 취약성이므로 이 부분을 fix하시는 것이 중요하고 프로그램으로 fix가 어렵다면 modsecurity로 대응하시는 것을 권장합니다.
아울러 일단 웹서버에서 메일을 발송할 일이 없다면 임시조처로 외부로 나가는 메일에 대해 아래와 같이 차단할 수 있습니다.
# iptables -I OUTPUT -p tcp --dport 25 -j DROP
감사합니다.
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
