묻고답하기
수시로 해킹당하네요
2015.05.20 03:51
업체에 보안설정을 의뢰해서 설정해두었고 PHP 버전은 가장 상위버전입니다.
일단 AJKJ님의 봇챌린지와 기진곰님의 세션쉴드도 깔아두었고 코어도 최신버전입니다.
www-data 등 아주 기본적인 보안은 설정되있고 bash 등의 보안업데이트도 해뒀습니다.
일단 제 사이트는 아니기에 어떻게 의뢰가 이루어졌는지는 모릅니다.
오늘 게시판에 프록시(?)를 이용한 도배공격이 있었습니다.
해당회원은 봇이 아니라고 주장했지만 그 전에 도배프로그램을 자신이 만들었다며 댓글을 단 걸로 보아 봇으로 의심되며 봇이 아닐경우 크롬(프록시) ->마우스 매크로로 도배하거나 해당 봇챌린지를 뚫은걸로 보입니다.
해당 악성사용자가 글 작성시 10초안에 3개이상 글 업로드시 차단되는 차단스팸도 뚫은것으로 보이며 회원정보도 몇몇 입수한걸로 보입니다, 일정레벨이상의 헤비회원의 정보를 거래할려고 블로그스팟을 개설하더군요.
일단 UMID라는 아주 작은 넷북만 사용할 수 있을때라서 적절한 조치를 취하지 못하였습니다.
해당서버는 꺼두었고 글쓰기화면에서 글을 작성하면 <script>hey budy, don't try pool us!</script>라는 문구가 나옵니다.
해당 문구는 2014년도에 호스팅어로 무료계정으로 운영할때도 보았던 문구입니다, 쪽지며 관리자화면에서도 해당 alert 스크립트가 동작하더군요.
해당년도에는 애드온이며 모듈없이 게시판 하나만 깔아둔채 운영했습니다.
방화벽이라도 설치해야할까요? 아니면 다른 CMS로 넘어가는데 나을까요?
댓글 5
-
AJKJ
2015.05.20 14:28
-
kdp
2015.05.20 14:42
해당 회원이 후원을 해야만 얻을 수 있는 아이디로 도배질을 하더군요, 후원이 아닌 일반적인 방법으로 얻은 해당 레벨 아이디라면 별로 없습니다.
이전에도 후원쪽으로 털려서 (문화상품권) 실제로 고소도 들어가고 아예 사이트가 터진적이 있는터라 예민할 수 밖에 없습니다. -
kdp
2015.05.20 20:18
로그파일로 실제 해킹을 확인했습니다. -
몽실아빠
2015.05.20 14:38
제가 알기로도 위 스크립트 출력은 Stop_Spambot_xe 사용으로 인한것으로 알고 있습니다.
-
kdp
2015.05.20 20:07
정신이 없어서 댓글달으려다가 까먹었네요, 댓글 감사합니다.
이런 분야의 전문가가 아니라서 뭐라고 뭐라고 말씀드리기 힘들지만 bot challenge anti spam을 뚫었다면, phantomJS계열의 스팸봇이거나, 아니면 별도로 bot challenge에 타게팅된 스팸봇인것 같습니다. 그리고 그 악성회원이라는 사람이 프로그램을 할줄 아는 분인것 같아요.
그리고 찾아보니 hey buddy 문구는 Stop_Spambot_xe 에서 나오는 문구인것 같네요. http://www.xpressengine.com/index.php?mid=qna&search_target=title_content&search_keyword=%ED%95%B4%ED%82%B9&document_srl=22775455 한번 확인해보세요.
방화벽을 설치한다고 해도 큰 차이가 없을것 같습니다.. application level의 문제를 방화벽으로 커버하는건 어렵지 않나 싶어요.
그런데 해킹당하셨다고 생각하시는 된 이유는 무엇인가요? 글에 작성된것으로만 느끼기에는 악성회원이 그냥 난리치는것 같아 보여서요.
P.S
예전에 이런 서비스가 있다고 했는데 한번 참고해 보세요..
https://www.blocked.com/