웹서버 해킹 사례 경험담

2010/02/04 11:54 / Study
사용자 삽입 이미지
SYSTEM 계정으로 IE가 실행되고 Firefox가 실행되고 SystemAdmin$ 계정과 기타 잘 모르는 계정이 생성되고 관리자 권한까지 있어서 모든걸 자유자제로 했던 일이 최근에 발생했습니다.
OS는 윈도우2000이였고 아파치 톰캣이였죠. 위 그림과 같이 index폴더를 생성하고 스크립트 화일과 원격지를 바로 연결해주는 프로세서를 만들어서 웹에서 실행하게끔 되었습니다. 자바가 구동되니 스크립트를 실행할수 있는 권한이 있을거라는 추측하에...
http://whd.sooli.com:8088/GUEST/Temp/index.zip

서버를 2003으로 재설치하고 문제없겠지 했는데 30분만에 해킹당했습니다. ㅎㅎ
기존의 웹소스를 그대로 복사해온게 화근이였죠. 거기에 박혀 있을거라는 생각을 못했는데 검색해보니 저게 있더랍니다.
사용자 삽입 이미지
일단 취약한 문제는 아파치 톰캣 서비스 실행권한 문제였습니다. user 계정을 생성하고 그 계정으로 서비스를 구동해야 하는게 그나마 보안상 덜 취약하다 입니다. 지금까지 우리가 서버에서 APP를 구동할때 프로그램 설치되면 그냥 디폴트 권한으로 운영을 합니다. 이 운영방법이 좋지 않다라는건 이 경험을 통해서 알았습니다. 서비스 계정을 최대한 낮추는데 우선순위가 있었습니다.
사용자 삽입 이미지
그리고 해당 웹소소의 NTFS 폴더 권한입니다. 기존의 디폴트 권한은 여러가지 권한이 있습니다. SYSTEM계정도 있고 관리자그룹 권한으로 속해 있어서 원격지에서 스크립트로 계정을 생성하고 관리자 그룹으로 등록을 시키면 저 폴더도 또 문제가 될거라는 판단하에 서비스 권한과 서버를 관리하는 최고 관리자 권한만 저렇게 넣어줬습니다.

위와같이 한후 해킹시도는 이루어지지 않았습니다.
공인존 대역이라 쉽게 노출이 되었던것도 문제였지만 더 큰 문제는 인재였습니다.
서버에서 인터넷을 하고 악성코드 들어오게끔 하고 바이러스 먹고 공인존임에도 불구하고 넷바이오스 네트워크드라이브 남발이였던게 화근인 것입니다.

IT한다는 회사가 이러고 있다는게 한심하기도 합니다만 필자는 뒷수습을 조용하게 해주는 역할일 뿐입니다. 필자가 위에 있으면 여러사람 조지는건데 현재는 밑바닥 업체여서 그냥 그러려니 뒷통수나 안맞게 일이나 하고 있습니다.

해킹...
남의일이라고만 생각했는데 필자에게도 눈앞에서 탈취되는것을 경험해 봤습니다.
이올린에 북마크하기(0) 이올린에 추천하기(0)
2010/02/04 11:54 2010/02/04 11:54
술이 이 작성.
TAGS , , ,
트랙백이 없습니다 , 1 개의 댓글

Trackback URL : 이 글에는 트랙백을 보낼 수 없습니다

당신의 의견을 작성해 주세요.

  1. Comment RSS : http://blog.sooli.com/rss/comment/338

  2. james 2010/02/04 13:09  편집/삭제  댓글 작성  댓글 주소

    그것말고도 좀 추가적인게 있죠..
    웹쉘(웹에서 구동되는 백도어툴)을 업로드 한 이후 그 웹쉘을 실행시켜서 각종 작업을..
    1. upload 기능이 있는 페이지에선 확장자 체크를 수행..
    2. 업로드된 파일이 저장된 경로를 client가 접근하지도 알수도 없도록..
    3. 업로드된 파일은 이름을 변경하여 저장.
    4. 업로드된 파일의 저장소는 실행권한을 제거..

    요곳도 좀 추가적으로 꼭 지켜야 될 사항이네요..admin 페이지를 아무나 접근할 수 있도록
    하거나 계정/패스워드를 admin / 1111 이따위로 하는곳도 많은데 걸리면 다 골로 가죠..
    가장 기본적인 이런것들은 좀 지켜줘야 될텐데요..

[로그인][오픈아이디란?]
« Prev : 1 : ... 12 : 13 : 14 : 15 : 16 : 17 : 18 : 19 : 20 : ... 342 : Next »