웹쉘 백도어 File Manager 유지보수, Web Shells, Backdoor Trojans and RATs, FilesMan

웹쉘, 백도어 유지보수 Web Shells, Backdoor Trojans and RATs FilesMan / 홈페이지 첫화면 File Manager 실행

오늘은 자주가는 카페에 해킹관련 의뢰가 접수되어 호기심 삼아 노크를 해봤습니다.

원래 서버쪽을 다루다 보니 보완관련 이슈에 항상 관심을 갖는 편인데..

의뢰인의 홈페이지를 접속해 보니 와~ 파일매니져가 떡 하니 보입니다.

File Manager 가 웹에서 실행이 되는 상태인데.. 

문제는 로그인 절차 없이 콘솔 사용이 가능한 상태였습니다.

와 이거 큰일 났구나

내 싸이트는 아니지만 상태가 아주 critical 한 상태였기에 호기심만 가지고는 안될 상황입니다.

바로 이것 저것 확인을 해 봤습니다.

처음엔 상황이 판단이 되지 않아 FM의 소스보기를 통해 의심이 될만한 키워드 FilesMan 를 검색해봤습니다.

국내 검색엔진에는 별 정보가 없더군요

구글링을 해보니 백도어라는게 판단이 되는군요.

관련자료

이건 백도어가 아니라 완전 오픈된 프론트도어네요..

그렇다면 해커가 서버어디엔가 웹쉘을 심어 놓았다는 이야기인데..

그럼 찾아야겠죠

웹호스팅 서버에서 find 명령만 제공을 해줘도 그나마 찾기가 좀 용이합니다.

아니면 grep 커맨드로 최근에 수정된 파일을 찾아 봅니다.

홈페이지 구조를 안다면 좀 쉽게 찾을 수 있겠죠?

파일은 찾는건 어려운 일이 아니었지만

문제는 어떤 취약점을 통해 웹쉘이 심어 졌는지 근본적인 대책 마련이 필요하겠습니다.

위 첨부한 파일을 보면 sql 인젝션을 가장 유력하게 의심하고 있네요.

워드프레스라면 레볼루션 슬라이더 취약점도 있네요. 근데 국내는 비교적 조용???

관련링크

사실 해커와 싸운다는건 엄청난 스트레스 입니다.

한번 뚫리면 계속 뚫립니다.

프로그램은 아무리 방어를 한다고 하더라도 뚫릴 수 밖에 없습니다 ㅠㅠ

오늘 같은 경우도 그냥 수정 조치로 끝내고 담당자는 문제점을 파악해서

패치를 한다고 하는데.. 

만약 내 싸이트에 그런 짓을 했다?

그냥 넘어 갈수 없겠죠?

수정조치로 끝낼 일이 아니라 이런 님들은 잡아 가둬야 합니다.

혹시 랜섬웨어라고 들어 보셨을까요??

저희와 같은 프로그래머들에겐 가장 무서운 존재랍니다.

걸리면 끝이에요 끝~ 운좋으면 풀수도 있지만.. ㅡ.ㅡ

랜섬웨어 예방은 웹접속시 올바른 습관과 주의, 백업밖에 없습니다!