웹마스터 팁

http://coffeenix.net/제  목 : 아파치에서 phpBB웜 차단 및 별도 로그 저장
글쓴이 : 좋은진호(truefeel, http://coffeenix.net/ )
글쓴일 : 2005.2.16(수)

phpBB 2.0.11 이전 버전의 보안문제를 이용한 phpBB Worm(Santy 웜 등)의 공격이 여전히
많이 시도되고 있다. phpBB를 최신 버전으로 업하는 것은 당연한 것이지만 지속적인 공격
으로 시스템 로드를 잡아먹고 짜증나는 로그를 해결할 방법이 필요했다.

1. phpBB 웜 공격 로그

access log에는 다음과 같은 형태의 로그가 남는다. (한줄로)

--------------------------------------------------------------------
65.77.xxx.xx - - [30/Dec/2004:19:58:01 +0900] "GET /...경로.../viewtopic.php?
p=1303&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)
%252Echr(32)%252Echr(45)%252Echr(101)%252Echr(32)%252Echr(34)%252Echr(112)%252
Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252
Echr(40)%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252
Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527
HTTP/1.0" 302 712 "-" "Mozilla/4.0"
--------------------------------------------------------------------

highlight= 변수로 넘어온 값을 phpBB의 viewtopic.php에서 urldecode()함수를 통해 보안상의
문제를 열어두고 있는데 이를 악용한 것이다.
웜의 다른 특징은 Agent가 "Mozilla/4.0"이라는 것이다. 단지 이 user agent인 경우를 차단
면 정상적인 사용자의 접속을 차단하는 경우도 생길 수 있으므로 여기서는 URL을 통한 방법을
사용할 것이다.

2. 웜 차단과 로그는 별도 저장

웜도 차단하면서 동시에 웹로그는 별도로 저장하는 httpd.conf 아파치 설정을 알아보자.

--------------------------------------------------------------------
RewriteEngine On

RewriteCond %{QUERY_STRING} ^[a-z]{1}=(.*)highlight=%2527%252E
RewriteRule ^.*$ http://127.0.0.1/ [R,L,E=phpbb:1]

CustomLog logs/phpbb_worm_log    common env=phpbb
--------------------------------------------------------------------

아파치에서는 URL Rewriting 설정을 통해 특정 URL로 요청된 것을 내부의 다른 페이지로
넘길 수도 있고 전혀 다른 사이트의 페이지로 보낼 수도 있다. 또한 조건에 맞는 URL이면
이를 아파치 내의 변수값으로 지정도 가능하다.
아파치의 Rewriting rule에 대한 자세한 글은 Apache 홈페이지의 "URL Rewriting Guide"
를 읽어보기 바라고, 설정에 대해 한줄씩 알아보기로 하자.

첫번째줄은 URL rewriting의 시작을 알린다.

두번째줄은 조건문이다. URI(쿼리)중에 위와 같은 URL이 형태인 경우인지를 비교하게된다.
즉, 로그의 첫부분인 다음과 같은 부분에 해당된다.
--------------------------------------------------------------------
p=1303&highlight=%2527%252Esystem(...
t=1303&highlight=%2527%252Esystem(...
--------------------------------------------------------------------

세번째줄은 조건이 맞는 경우에 어떻게 처리할 것인지를 정의한 것인데,
웜으로 판단되면 요청을 http://127.0.0.1/ 으로 넘겨버린다. 즉 웜 자신에게 요청을
넘기게 되는 것이다. 여기서 또 하나 중요한 부분이 'E=phpbb:1' 이다.
환경변수 phpbb에 1이라는 값을 넣으라는 것이다. 이 것은 로그를 별도로 저장하기 위한
안내자 역할을 하게 된다.

네번째줄은 환경변수 phpbb로 정의된 요청은 logs/phpbb_worm_log 에 로그를 남기라는 것이다.

자~ 이제 짜증나는 저 웜을 한방에 날려버리세요.

3. 참고 자료

* Apache 1.3 URL Rewriting Guide
  http://httpd.apache.org/docs/misc/rewriteguide.html

* phpBB Worm 차단에 대해 (글 Raymond Dijkxhoorn)
  http://www.securityfocus.com/archive/1/385103

* phpBB의 highlight 변수의 보안문제에 대해
  http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513

* phpBB Remote Command Execution (Viewtopic.php Highlight)
  http://www.securiteam.com/unixfocus/6J00O15BPS.html

* Using the [E=VAR:VAL] flag to pass a variable to CGI
  http://www.webmasterworld.com/forum92/2631.htm

제목 글쓴이 날짜
zeroboard 아이디 , 비번 분실시 변경법. 이성헌 2005.12.15
nWmail 서버 구축 방법- 자세한 문서는 w3ip.com 에 있음 이성헌 2005.12.15
apache 의 httpd.conf 에서 alias 사용례... 이성헌 2005.12.15
mysql 사용법 요약 정리 이성헌 2005.12.15
iis+php+mysql+zeroboard 설치 [3] 이성헌 2005.12.15
apache+php+mysql+phpmyadmin+zeroboard 설치 이성헌 2005.12.15
우편번호테이블 시도(sido) 필드에 특별시,광역시 등이 빠져있는 경우 후훗 2005.11.07
Windows Server 2003 Standard Edition 설치 후 꼭 해야 할것 [4] WebJh 2005.09.20
윈도우에서 아파치 설치하기 [4] file 미오유 2005.08.18
메일주소 변조는 no, SPF(Sender Policy Framework)기술에 대해 좋은진호 2005.08.04
IDC 방문 이야기 ^^; 3 - 서버 업그레이드 이야기 [2] 박용구 2005.08.03
아파치에서 phpBB웜 차단 및 별도 로그 저장 [3] 좋은진호 2005.03.07
[해킹당한경험이 있는분 참고하세요]이제는 제로보드 서버도 안전하게 해킹당하지 않고 운영합시다. [20] 양승의 2005.02.22
[MS05-004~015] 윈도우 취약점 패치 권고 ATpple.com 2005.02.16
MySQL 비밀번호 분실 대처요령 [2] 임경우 2005.02.02
아파치 설정 활용 예(서비스 제한측면) [4] 좋은진호 2005.01.31
원격접속데스크톱 XP이전버젼에서도 된다~! [5] 류진곤 2005.01.23
홈페이지 대량 변조 발생에 따른 ‘주의’ 경보발령 [4] ATpple.com 2005.01.07
운영 환경에서 안전한 PHP 설정 [1] 김병철 2005.01.06
rsync의 write only 기능(쓰기만 가능한 설정) 좋은진호 2004.12.09