xss 공격당한거 청소 후기

얼마전에 질답게시판에도 올렸는데

xss공격을 당했다는 사실은 진작부터 알았지만

뭐 웹호스팅인데 별일 있겠어? 하면서 그냥 내던져두기도 했고

요새 새로 생긴 취미생활 활(국궁)에 푹 빠져서 들여다보기도 싫고 해서 그냥 내비리 뒀었는데요.

 

며칠전 네이버검색으로 제 홈페이지를 띄워보니 일본 sanwa가 뜨고 있었습니다.

이게 폰에서만 그렇게 되고 있더군요.

 

아 이거 그냥 놔둬서는 안되겠다 싶어서

청소를 시작했는데... 

 

일단 라이믹스만 덮어서는 안된다는걸 알았습니다.

라이믹스를 public_html 상위폴더에 깔아두고 

일일이 비교하면서

쓸데없는 놈들을 하나씩 BACKUP폴더에 옮겨가면서 작업을 시작했습니다.

 

일단 라이믹스를 rsync로 덮어두고 시작했고요. 

(해킹을 당한시점은 xe 구버전 쓰던 시점입니다.)

 

제일먼저 public_html 부터 점검해봅니다.

httpd.conf 라는 이름으로 스크립트가 있고

(그외에도 요상한게 몇 있었는데 이름을 기억 못하겠습니다. 다 지움)

 

.htaccess  index.php 에 변조를 확인했었는데

(덮어쓰고 나면 또 변조되고의 반복이었습니다.)

 

grep 명령어로 하위폴더까지 싹다 뒤져서 htaccess 를 잡아보니

스킨이나 위젯 폴더등에 같은이름으로 하위폴더를 만들고 그속에 index.php   *.mov   *.xbm   이런 파일들이 들어있는걸 확인했고

/public_html/widgets/content/conf/conf   이런식

 

그속에는 index.php와 *.mov 이런게 들어있었습니다.
 

 

해당 폴더들을 일제히 rm -rf 명령어로 지워나가기 시작했습니다.

위젯이나 스킨 같은것들은 어차피 새로 받아 깔면 되는 것이기에 백업없이 막 지웠습니다.

 

find 명령어는 요래 쓰면 됩니다.

이런 문법도 생각이 안나서 검색해서 찾아야하고 참... 제 머리도 늙었나봅니다.

 

find . -name index.php
 

현재 라이믹스에는 index.php가 아래 두곳에 밖에 없습니다.

이거 둘을 제외한 나머지는 다~ 필요없을 확률이 매우 큽니다.

 

./common/framework/parsers/dbtable/index.php
./index.php
 

 

지워지는 놈들에게서 몇몇 특정 단어가 보입니다. 그런 단어들을 검색어로 찾아도 보고 또 그렇게 몇개의 의심스러운 놈들을 제거했습니다.

스크립트들을 보면 이상하게 꼬인 글자들이 많이 보이는데

특정한 단어가 패턴처럼 들어 있었습니다.

예를 들면 이런것들

 

grep -r "PEZpb"

grep -r "XKGbp"
 

보통 index.php를 find 해서 지운것으로만 대략은 해결되었고요.

 

지울때 좀 찝찝한것은 라이믹스 압출 풀어둔것과 비교해보고 또 지우고 ... 

 

혹시나 싶어 phpmyadmin 열어서 거기서도 몇몇단어들을 검색해봤는데

DB쪽에서는 흔적을 찾을수 없었습니다.

 

그렇게 오래걸리진 않았던거 같습니다.

다시한번 정상작동이 되는가 확인하고는

매일 들어가서 

 

find . -name index.php
 

요명령어를 돌려보는 중입니다.

 

 

한가지더 추가합니다.

하위에 각 폴더마다 .htaccess 파일이 가득~ 있습니다.

이걸 다 지워야하는데

ssh 로 들어가서 find 명령어로 지우기 가능합니다.

 

cd public_html  에  입장 후... 

 

find . -type f -name ".htaccess" -exec rm -f {} \;

 

._*  파일들도 모두 변조파일들로 확인되어서...  그것들도 지워줍니다.

 

find . -type f -name "._*" -exec rm -f {} \;
 

 

위에 index.php 들도 같은 요령으로 지워버렷으면 되었을것을

 

find . -name index.php -exec rm -f {} \;

 

일일이 지우는 수고를 시전했네요.

이런거 하시기전엔 꼭 백업해두고 진행하세요.

그리고 라이믹스 미리 git이나 ftp로 업로드 해두고 뭐가 엉뚱한게 지워지면  rsync  혹은 덮어쓰기 하시길 바랍니다.

 

...

 

 

도대체 얼마나 많이 있었던건지... 지우는데 정말 한참 걸렸습니다.

 

홈페이지가 지킬게 별로 없으면 그냥 새로 까는게 낫다는 말이 맞는거 같습니다.

 

 

 

완전 수동방식에 허접한 후기였습니다.

 

 . . .

 

 

새해맞이  빙어낚시 다녀왔습니다.

 

새해 복 많이 받으세요.

 

 

 

 

빙어텐트에 불빛은 참 이쁩니다.

각기 텐트마다 색상이 빛나면서 더욱 이뻐요.

 

 

 

 

아주 오래된 고물 어탐기입니다.

 

수심 4.3미터에 2-3미터권에 빙어어군이 지나다니는게 보입니다.

어탐기의 설치목적은 빙어들이 어느위치에 머무는지 보고 거기를 노리기 위함입니다.

 

 

 

 

빙어 작업장(?) 내부입니다.

 

허리가 아파서 롱릴렉스체어에

테이블까지 펴고 있습니다.

 

반사식 등유난로에

맥주 세팅하고

버너속에는 줄줄이비엔나 쏘시지가 익어갑니다.

 

빙어낚시는 낚시 그자체보다는 이런 분위기를 즐기게 되는거 같습니다.

 

 

 

잡아놓은 빙어들... 

 

 

빙어는 살이 매우 무르가 연한편이라서

뼈째 튀겨도 먹기에 아주 좋습니다.

 

생으로 드시면 안됩니다.

디스토마 걸려요

 

 

 

집어등을 켜놨더니

빙어가 바로 아래까지 보입니다.

 

잘보면 빙어 보입니다.