리눅스 분류
iframe 웹변조 해결책이 없을까요?
작성자 정보
- 홍석범 작성
- 작성일
컨텐츠 정보
- 1,478 조회
- 0 추천
- 목록
본문
안녕하십니까?씨디네트웍스 홍석범입니다.
정기적으로 IFRAME이 추가된다면 두가지 정보를 생각해 볼 수 있을 것 같습니다.
(1) 해당 파일의 소유권을 빼앗겼다.
고급기법을 이용하여 공격하는 경우도 있지만 단순 ssh/ftp에 대한 Brute force 공격으로 권한획득을 하여 파일을 변조하는 경우도 있습니다. 따라서 last등을 확인하시어 정상적이지 않은 IP에서의 접속은 없었는지 확인해 보시기 바랍니다.
또한 crontab -l 을 보셔서 혹 cron에 정의되어 있지는 않은지 확인해 보시기 바랍니다.
(2) root 권한을 빼앗겼다.
웹해킹을 통해 단순히 nobody 권한을 빼앗겼을 수도 있습니다. 이러한 경우 해당 변조되는 파일이나 상위 디렉토리에 write 권한이 있어야 변경 가능할 것입니다.
이보다는 root 권한을 배앗겼을 수도 있습니다. 이러한 경우 history나 chkrootkit, 각종 접속 로그기록을 보셔서 판단하셔야 합니다.
일단 해당 시스템의 취약성은 없는지, 패치는 모두 되어 있는지, 웹해킹의 가능성은 없는지 확인하셔서 진행하셔야 할 것 같습니다.
만약 실제 파일이 변조되는 것이 아니라, 외부에서 접근시에만 그렇게 보인다면 arp spoofing 을 의심해 보셔야 합니다.
감사합니다.
정기적으로 IFRAME이 추가된다면 두가지 정보를 생각해 볼 수 있을 것 같습니다.
(1) 해당 파일의 소유권을 빼앗겼다.
고급기법을 이용하여 공격하는 경우도 있지만 단순 ssh/ftp에 대한 Brute force 공격으로 권한획득을 하여 파일을 변조하는 경우도 있습니다. 따라서 last등을 확인하시어 정상적이지 않은 IP에서의 접속은 없었는지 확인해 보시기 바랍니다.
또한 crontab -l 을 보셔서 혹 cron에 정의되어 있지는 않은지 확인해 보시기 바랍니다.
(2) root 권한을 빼앗겼다.
웹해킹을 통해 단순히 nobody 권한을 빼앗겼을 수도 있습니다. 이러한 경우 해당 변조되는 파일이나 상위 디렉토리에 write 권한이 있어야 변경 가능할 것입니다.
이보다는 root 권한을 배앗겼을 수도 있습니다. 이러한 경우 history나 chkrootkit, 각종 접속 로그기록을 보셔서 판단하셔야 합니다.
일단 해당 시스템의 취약성은 없는지, 패치는 모두 되어 있는지, 웹해킹의 가능성은 없는지 확인하셔서 진행하셔야 할 것 같습니다.
만약 실제 파일이 변조되는 것이 아니라, 외부에서 접근시에만 그렇게 보인다면 arp spoofing 을 의심해 보셔야 합니다.
감사합니다.
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
