커피닉스, 시스템 엔지니어의 쉼터 :: 주제 보기 - Santy.C 변종 주의 (PHP 프로그램 공격)

커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳

FAQ

검색

멤버리스트

사용자 그룹

사용자 등록하기

개인 정보

비공개 메시지를 확인하려면 로그인하십시오

로그인

가입없이 누구나 글을 쓸 수 있습니다. 공지사항에 대한 댓글까지도..

BBS >> 설치, 운영 Q&A | 네트웍, 보안 Q&A | 일반 Q&A || 정보마당 | AWS || 자유게시판 | 구인구직 || 공지사항 | 의견제시

Santy.C 변종 주의 (PHP 프로그램 공격)

커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보

이전 주제 보기 :: 다음 주제 보기

글쓴이

메시지

truefeel
카페 관리자

가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올려짐: 2004.12.27 월, 11:25 pm 주제: Santy.C 변종 주의 (PHP 프로그램 공격)

출처 : 헐랭이와 IT보안, http://swbae.egloos.com/851603/

인용:

해외 보안 업체인 iMPERVA는 취약한 웹 어플리케이션을 통해 악성 프로그램(웜, 바이러스)이 퍼질 가능성을 경고해왔죠. - 참고 자료
저는 충분히 가능한 이야기라고 생각했으나, 3~4년 뒤에나 다가올 일로 생각했는데, 예상보다
빨리다가오네요.

기존의 Santy 웜은 phpBB라는 게시판 프로그램을 사용하는 곳만을 공격하였으나, 새로나온 Santy.C 변형은 PHP를 사용하는 모든 프로그램을 공격하도록 수정되었습니다.

PHP 프로그래머가 보안상의 결함이 있는 형태(include, require 함수를 취약하게 사용한 경우)로 프로그램을 짠 경우, Santy.C 웜에 공격당하게 됩니다.

Santy.C는 구글 브라질 사이트를 이용해 공격 대상을 찾아낸 후 해당 프로그램이 사용하는 인자(parameter)에 자신이 원하는 명령어를 대입시키는 형태로 웜에 감염시킵니다. 이런 공격 기법은 기존에 해커들이 즐겨 사용하던 기법으로, 바이러스, 웜, 해킹의 경계가 나날이 모호해지고 있음을 잘 보여주고 있다고 하겠습니다.
- 참고 자료 : http://www.securityfocus.com/archive/1/385463/2004-12-23/2004-12-29/0

국내에서 많이 사용되는 제로보드, 그누보드라는 게시판도 역시 Santy.C의 공격에 취약합니다. 해당 게시판 사용자는 최근 발표된 취약점 패치를 반드시 적용하여야 합니다.
제로보드 보안 취약점 정보 : http://www.webappsecure.com/bbs/stories.php?story=04/12/24/0938137
그누보드 보안 취약점 정보 : http://www.securityfocus.com/archive/1/384522/2004-12-13/2004-12-19/0

이 웜의 독특한 공격 방식으로 인해 기존에 취약점이 발견되지 않은 PHP 어플리케이션의 경우에도 공격당할 수 있으니 주의가 필요합니다.

Apache 사용자라면 다음의 2가지 방법 중 하나를 사용하여 공격에 대처할 수 있습니다.

방법 1. 환경 설정 파일(httpd.conf) 수정

코드:

SetEnvIf User-Agent "LWP::" get_lost
SetEnvIf User-Agent "lwp-trivial" get_lost

<Directory /*>
Order Allow,Deny
Deny from env=get_lost
Allow from all
</Directory>

방법 2. mod_rewirte 사용

코드:

<Directory /*>
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)spy\.gif(.*)
RewriteRule ^.*$ - [F]
</Directory>

참고로 해외 보안 업체가 분석한 웜의 개괄적인 소스를 덧붙입니다.
K-Otik 의 Santy.C 분석 소스 : http://www.k-otik.com/exploits/20041225.PhpIncludeWorm.php

위로

이전 글 표시:

	커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보	시간대: GMT + 9 시간(한국)
페이지 1 중 1

새로운 주제를 올릴 수 있습니다
답글을 올릴 수 있습니다
주제를 수정할 수 없습니다
올린 글을 삭제할 수 없습니다
투표를 할 수 없습니다