웹마스터 팁
아파치에서 phpBB웜 차단 및 별도 로그 저장
2005.03.07 22:48
http://coffeenix.net/제 목 : 아파치에서 phpBB웜 차단 및 별도 로그 저장
글쓴이 : 좋은진호(truefeel, http://coffeenix.net/ )
글쓴일 : 2005.2.16(수)
phpBB 2.0.11 이전 버전의 보안문제를 이용한 phpBB Worm(Santy 웜 등)의 공격이 여전히
많이 시도되고 있다. phpBB를 최신 버전으로 업하는 것은 당연한 것이지만 지속적인 공격
으로 시스템 로드를 잡아먹고 짜증나는 로그를 해결할 방법이 필요했다.
1. phpBB 웜 공격 로그
access log에는 다음과 같은 형태의 로그가 남는다. (한줄로)
--------------------------------------------------------------------
65.77.xxx.xx - - [30/Dec/2004:19:58:01 +0900] "GET /...경로.../viewtopic.php?
p=1303&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)
%252Echr(32)%252Echr(45)%252Echr(101)%252Echr(32)%252Echr(34)%252Echr(112)%252
Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252
Echr(40)%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252
Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527
HTTP/1.0" 302 712 "-" "Mozilla/4.0"
--------------------------------------------------------------------
highlight= 변수로 넘어온 값을 phpBB의 viewtopic.php에서 urldecode()함수를 통해 보안상의
문제를 열어두고 있는데 이를 악용한 것이다.
웜의 다른 특징은 Agent가 "Mozilla/4.0"이라는 것이다. 단지 이 user agent인 경우를 차단
면 정상적인 사용자의 접속을 차단하는 경우도 생길 수 있으므로 여기서는 URL을 통한 방법을
사용할 것이다.
2. 웜 차단과 로그는 별도 저장
웜도 차단하면서 동시에 웹로그는 별도로 저장하는 httpd.conf 아파치 설정을 알아보자.
--------------------------------------------------------------------
RewriteEngine On
RewriteCond %{QUERY_STRING} ^[a-z]{1}=(.*)highlight=%2527%252E
RewriteRule ^.*$ http://127.0.0.1/ [R,L,E=phpbb:1]
CustomLog logs/phpbb_worm_log common env=phpbb
--------------------------------------------------------------------
아파치에서는 URL Rewriting 설정을 통해 특정 URL로 요청된 것을 내부의 다른 페이지로
넘길 수도 있고 전혀 다른 사이트의 페이지로 보낼 수도 있다. 또한 조건에 맞는 URL이면
이를 아파치 내의 변수값으로 지정도 가능하다.
아파치의 Rewriting rule에 대한 자세한 글은 Apache 홈페이지의 "URL Rewriting Guide"
를 읽어보기 바라고, 설정에 대해 한줄씩 알아보기로 하자.
첫번째줄은 URL rewriting의 시작을 알린다.
두번째줄은 조건문이다. URI(쿼리)중에 위와 같은 URL이 형태인 경우인지를 비교하게된다.
즉, 로그의 첫부분인 다음과 같은 부분에 해당된다.
--------------------------------------------------------------------
p=1303&highlight=%2527%252Esystem(...
t=1303&highlight=%2527%252Esystem(...
--------------------------------------------------------------------
세번째줄은 조건이 맞는 경우에 어떻게 처리할 것인지를 정의한 것인데,
웜으로 판단되면 요청을 http://127.0.0.1/ 으로 넘겨버린다. 즉 웜 자신에게 요청을
넘기게 되는 것이다. 여기서 또 하나 중요한 부분이 'E=phpbb:1' 이다.
환경변수 phpbb에 1이라는 값을 넣으라는 것이다. 이 것은 로그를 별도로 저장하기 위한
안내자 역할을 하게 된다.
네번째줄은 환경변수 phpbb로 정의된 요청은 logs/phpbb_worm_log 에 로그를 남기라는 것이다.
자~ 이제 짜증나는 저 웜을 한방에 날려버리세요.
3. 참고 자료
* Apache 1.3 URL Rewriting Guide
http://httpd.apache.org/docs/misc/rewriteguide.html
* phpBB Worm 차단에 대해 (글 Raymond Dijkxhoorn)
http://www.securityfocus.com/archive/1/385103
* phpBB의 highlight 변수의 보안문제에 대해
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
* phpBB Remote Command Execution (Viewtopic.php Highlight)
http://www.securiteam.com/unixfocus/6J00O15BPS.html
* Using the [E=VAR:VAL] flag to pass a variable to CGI
http://www.webmasterworld.com/forum92/2631.htm
글쓴이 : 좋은진호(truefeel, http://coffeenix.net/ )
글쓴일 : 2005.2.16(수)
phpBB 2.0.11 이전 버전의 보안문제를 이용한 phpBB Worm(Santy 웜 등)의 공격이 여전히
많이 시도되고 있다. phpBB를 최신 버전으로 업하는 것은 당연한 것이지만 지속적인 공격
으로 시스템 로드를 잡아먹고 짜증나는 로그를 해결할 방법이 필요했다.
1. phpBB 웜 공격 로그
access log에는 다음과 같은 형태의 로그가 남는다. (한줄로)
--------------------------------------------------------------------
65.77.xxx.xx - - [30/Dec/2004:19:58:01 +0900] "GET /...경로.../viewtopic.php?
p=1303&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)
%252Echr(32)%252Echr(45)%252Echr(101)%252Echr(32)%252Echr(34)%252Echr(112)%252
Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252
Echr(40)%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252
Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527
HTTP/1.0" 302 712 "-" "Mozilla/4.0"
--------------------------------------------------------------------
highlight= 변수로 넘어온 값을 phpBB의 viewtopic.php에서 urldecode()함수를 통해 보안상의
문제를 열어두고 있는데 이를 악용한 것이다.
웜의 다른 특징은 Agent가 "Mozilla/4.0"이라는 것이다. 단지 이 user agent인 경우를 차단
면 정상적인 사용자의 접속을 차단하는 경우도 생길 수 있으므로 여기서는 URL을 통한 방법을
사용할 것이다.
2. 웜 차단과 로그는 별도 저장
웜도 차단하면서 동시에 웹로그는 별도로 저장하는 httpd.conf 아파치 설정을 알아보자.
--------------------------------------------------------------------
RewriteEngine On
RewriteCond %{QUERY_STRING} ^[a-z]{1}=(.*)highlight=%2527%252E
RewriteRule ^.*$ http://127.0.0.1/ [R,L,E=phpbb:1]
CustomLog logs/phpbb_worm_log common env=phpbb
--------------------------------------------------------------------
아파치에서는 URL Rewriting 설정을 통해 특정 URL로 요청된 것을 내부의 다른 페이지로
넘길 수도 있고 전혀 다른 사이트의 페이지로 보낼 수도 있다. 또한 조건에 맞는 URL이면
이를 아파치 내의 변수값으로 지정도 가능하다.
아파치의 Rewriting rule에 대한 자세한 글은 Apache 홈페이지의 "URL Rewriting Guide"
를 읽어보기 바라고, 설정에 대해 한줄씩 알아보기로 하자.
첫번째줄은 URL rewriting의 시작을 알린다.
두번째줄은 조건문이다. URI(쿼리)중에 위와 같은 URL이 형태인 경우인지를 비교하게된다.
즉, 로그의 첫부분인 다음과 같은 부분에 해당된다.
--------------------------------------------------------------------
p=1303&highlight=%2527%252Esystem(...
t=1303&highlight=%2527%252Esystem(...
--------------------------------------------------------------------
세번째줄은 조건이 맞는 경우에 어떻게 처리할 것인지를 정의한 것인데,
웜으로 판단되면 요청을 http://127.0.0.1/ 으로 넘겨버린다. 즉 웜 자신에게 요청을
넘기게 되는 것이다. 여기서 또 하나 중요한 부분이 'E=phpbb:1' 이다.
환경변수 phpbb에 1이라는 값을 넣으라는 것이다. 이 것은 로그를 별도로 저장하기 위한
안내자 역할을 하게 된다.
네번째줄은 환경변수 phpbb로 정의된 요청은 logs/phpbb_worm_log 에 로그를 남기라는 것이다.
자~ 이제 짜증나는 저 웜을 한방에 날려버리세요.
3. 참고 자료
* Apache 1.3 URL Rewriting Guide
http://httpd.apache.org/docs/misc/rewriteguide.html
* phpBB Worm 차단에 대해 (글 Raymond Dijkxhoorn)
http://www.securityfocus.com/archive/1/385103
* phpBB의 highlight 변수의 보안문제에 대해
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
* phpBB Remote Command Execution (Viewtopic.php Highlight)
http://www.securiteam.com/unixfocus/6J00O15BPS.html
* Using the [E=VAR:VAL] flag to pass a variable to CGI
http://www.webmasterworld.com/forum92/2631.htm
댓글 3
-
数据恢复
2008.03.22 16:28
数据恢复 RAID数据恢复 服务器数据恢复 升降机 论文发表 钢管 无缝钢管我们常说的google排名指的是Google左侧排名,即在Google搜索引擎搜索结果中google左侧排名占据3/4位置的搜索结果位置的排名 -
12345
2008.05.11 14:53
南京数据恢复 南京联想笔记本维修 南京笔记本维修 笔记本维修 南京笔记本电脑维修 南京ibm笔记本维修 南京DELL笔记本维修 南京戴尔笔记本维修 SONY笔记本维修 南京 南京东芝笔记本维修 南京华硕笔记本维修 南京三星笔记本维修
南京三星笔记本维修 南京SONY笔记本维修 南京笔记本维修 笔记本维修 南京IBM笔记本维修 南京SONY笔记本维修 南京dell笔记本维修 南京东芝笔记本维修 南京联想笔记本维修 南京笔记本维修 南京笔记本维
修 笔记本维修 南京笔记本维修 南京IBM笔记本维修 sony笔记本维修 南京 笔记本电脑维修 ibm笔记本维修 南京笔记本电脑维修 东芝TOSHIBA笔记本维修 明基笔记本维修 康柏笔记本维修 三星笔记本维修
-
fghj
2008.05.25 11:54
南京数据恢复 笔记本维修 南京笔记本维修 南京IBM笔记本维修 IBM笔记本维修 南京SONY笔记本维修 SONY笔记本维修 联想笔记本维修 南京联想笔记本维修 南京dell笔记本维修 南京戴尔服务器维修 dell笔记本维修 南京HP笔记本维修 南京康柏笔记本维修 HP笔记本维修 南京三星笔记本维修 三星笔记本维修 南京东芝笔记本维修 东芝笔记本维修 南京夏普笔记本维修 笔记本电池维修 南京明基笔记本维修 南京NEC笔记本维修 联宝笔记本维修 京东方笔记本维修 联宝笔记本维修 南京华硕笔记本维修 南京数据恢复 南京笔记本维修 笔记本维修 南京ibm笔记本维修 南京DELL笔记本维修 南京戴尔笔记本维修 南京SONY笔记本维修 南京东芝笔记本维修 南京华硕笔记本维修 南京三星笔记本维修 南京联想笔记本维修 笔记本维修 南京笔记本维修 南京IBM笔记本维修 sony南京笔记本维修 笔记本电脑维修 ibm笔记本维修 南京笔记本电脑维修 东芝笔记本维修 明基笔记本维修 康柏笔记本维修 三星笔记本维修 南京笔记本维修 笔记本维修 南京笔记本维修 南京IBM笔记本维修 sony笔记本维修 南京 笔记本电脑维修 ibm笔记本维修 南京笔记本电脑维修 东芝TOSHIBA笔记本维修 明基笔记本维修 康柏笔记本维修 三星笔记本维修 南京笔记本维修 南京笔记本维修 密封材料 润滑油 笔记本维修 南京笔记本维修 南京笔记本回收 南京笔记本维修 密封材料 润滑油 笔记本维修
| 제목 | 글쓴이 | 날짜 |
|---|---|---|
| zeroboard 아이디 , 비번 분실시 변경법. | 이성헌 | 2005.12.15 |
| nWmail 서버 구축 방법- 자세한 문서는 w3ip.com 에 있음 | 이성헌 | 2005.12.15 |
| apache 의 httpd.conf 에서 alias 사용례... | 이성헌 | 2005.12.15 |
| mysql 사용법 요약 정리 | 이성헌 | 2005.12.15 |
| iis+php+mysql+zeroboard 설치 [3] | 이성헌 | 2005.12.15 |
| apache+php+mysql+phpmyadmin+zeroboard 설치 | 이성헌 | 2005.12.15 |
| 우편번호테이블 시도(sido) 필드에 특별시,광역시 등이 빠져있는 경우 | 후훗 | 2005.11.07 |
| Windows Server 2003 Standard Edition 설치 후 꼭 해야 할것 [4] | WebJh | 2005.09.20 |
윈도우에서 아파치 설치하기
[4]
 | 미오유 | 2005.08.18 |
| 메일주소 변조는 no, SPF(Sender Policy Framework)기술에 대해 | 좋은진호 | 2005.08.04 |
| IDC 방문 이야기 ^^; 3 - 서버 업그레이드 이야기 [2] | 박용구 | 2005.08.03 |
| 아파치에서 phpBB웜 차단 및 별도 로그 저장 [3] | 좋은진호 | 2005.03.07 |
| [해킹당한경험이 있는분 참고하세요]이제는 제로보드 서버도 안전하게 해킹당하지 않고 운영합시다. [20] | 양승의 | 2005.02.22 |
| [MS05-004~015] 윈도우 취약점 패치 권고 | ATpple.com | 2005.02.16 |
| MySQL 비밀번호 분실 대처요령 [2] | 임경우 | 2005.02.02 |
| 아파치 설정 활용 예(서비스 제한측면) [4] | 좋은진호 | 2005.01.31 |
| 원격접속데스크톱 XP이전버젼에서도 된다~! [5] | 류진곤 | 2005.01.23 |
| 홈페이지 대량 변조 발생에 따른 ‘주의’ 경보발령 [4] | ATpple.com | 2005.01.07 |
| 운영 환경에서 안전한 PHP 설정 [1] | 김병철 | 2005.01.06 |
| rsync의 write only 기능(쓰기만 가능한 설정) | 좋은진호 | 2004.12.09 |