Skip to content

2008.11.25 20:27

웹취약점 점검

조회 수 9301 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

웹 취약점 점검하다가 한번 만들어 봤습니다.

@@@@@@@@@@@@@@업로드된 불법 스크립트 의심 파일들 찾기v 1.1@@@@@@@@@@@@@@@@@@
업로드 된 파일 중(Nobody권한) 확장자가 php, html등은 웹 권한으로 스크립트 실행이 가능 하며 일반 계정과 똑같은 권한을 가질 수 있다.
해당 파일들의 경우 게시판 등에서 필요로 하는 파일 확률도 있지만 의도하지 않게 악의의 공격자가 심어 놓은 스크립트일 확률도 높다.
아래와 같이 특정 php함수를 실행 시키는 목록을 뽑아내면 의도하지 않은 파일을 효율적으로 걸러 낼 수 있다.
뽑아낸 모든 파일이 불법 업로드는 아니므로 나머지는 눈으로 확인하도록 한다

1. 파일 목록 뽑아내기

####Nobody권한의 스크립트 파일 목록 뽑아내기####
find /home \( \( -user nobody \) -a \( -name "*.php" -o -name "*.html" -o -name "*.htm" -o -name "*.ph" -o -name "*.php3" -o -name "*.php4" -o -name "*.inc" \) \) | grep -v 'zbSession' >search_files


2. 뽑아낸 목록에서 mail, 쉘실행, 업로드등 특정 php 함수를 실행하는 파일 목록 분리하기


####아래 패턴 모두 적용해서 찾기####
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^exec(\" -e \"[;@[:blank:]]exec(\" -e \"^system(\" -e \"[;@[:blank:]]system(\" -e \"^mail(\" -e \"[;@[:blank:]]mail(\" -e \"^fsockopen(\" -e \"[;@[:blank:]]fsockopen(\" -e \"^HTTP_POST_FILES\" -e \"[;@[:blank:]]HTTP_POST_FILES\" -e \"^copy(\" -e \"[;@[:blank:]]copy(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list


####목록 파일에서 실행 명령어 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^exec(\" -e \"[;@[:blank:]]exec(\" -e \"^system(\" -e \"[;@[:blank:]]system(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list


####목록 파일에서 메일 명령어 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^mail(\" -e \"[;@[:blank:]]mail(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list


####목록 파일에서 소켓open 명령어 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^fsockopen(\" -e \"[;@[:blank:]]fsockopen(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list


####목록 파일에서 copy 명령어(파일 업로드 포함) 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^HTTP_POST_FILES\" -e \"[;@[:blank:]]HTTP_POST_FILES\" -e \"^copy(\" -e \"[;@[:blank:]]copy(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list

출처 : http://nicesolo.com


List of Articles
번호 제목 글쓴이 날짜 조회 수
88 CentOS 5.2 32bit 에 2.6.27.4 커널 + iptables 1.4.2 + c... ADMIN 2008.11.10 7866
87 ZONE-H.KR ADMIN 2008.11.11 8600
86 wowhacker.com ADMIN 2008.11.11 8108
» 웹취약점 점검 ADMIN 2008.11.25 9301
84 리눅스 해킹점검 가이드 ADMIN 2008.12.10 18283
83 보안서버로 redirection 설정 하기 ADMIN 2008.12.14 10334
82 fcheck - 리눅스 시스템 무결성 검사 툴 ADMIN 2008.12.14 11079
81 보안서버 구축시 openssl/modssl/apache 버전 호환성 ADMIN 2008.12.14 10935
80 보안서버구축 - SSL(설치 및 키생성) 1 ADMIN 2009.01.04 10517
79 리눅스 아이피 차단 해제 ADMINPLAY 2009.03.11 10585
78 최신 버전으로 구축하는 웹 파이어월, modsecurity file ADMINPLAY 2009.03.17 12903
77 apache 웹방화벽 모듈 modsecurity용 웹설정 툴, Remo file ADMINPLAY 2009.03.17 10090
76 보안서버 SSL 구동시 비밀번호 자동 입력 및 부팅시 자동 ... ADMINPLAY 2009.03.23 9372
75 mod_evasive를 이용한 웹Dos 공격을 막자 ADMINPLAY 2009.05.07 9473
74 국가별로 접속 차단설정(geoip 설치) ADMINPLAY 2009.05.10 10462
73 접속 로그파일 보기(wtmp) ADMINPLAY 2009.05.11 13941
72 해킹툴이 사용하는 포트번호 ADMINPLAY 2009.05.22 9864
71 SQL 인젝션(injection) 프로그램 15종 ADMINPLAY 2009.05.22 12574
70 기본 tcpdump사용법 ADMINPLAY 2009.05.22 11740
69 DOS Attack을 막기 위한 간단한 방법 ADMINPLAY 2009.05.22 9618
Board Pagination Prev 1 2 3 4 5 Next
/ 5

Copyright ADMINPLAY corp. All rights reserved.

abcXYZ, 세종대왕,1234

abcXYZ, 세종대왕,1234