Webハッキング、危険なコードチェックプログラム
サーバーハッキングは、悪意のあるPHPがインストールされているかどうか、監視およびリスクコードを簡単に確認するために行われました。
- サーバーアカウントにコードを記述し、アップロードします。
<? /** * Name: Kilho's PHP Diagnosis * Author: Kilho Oh (prince@kilho.net) * Author URI: http://kilho.net/ */ class TDiagnosis { public $dir;public function __construct() { $this->dir = $_SERVER['DOCUMENT_ROOT'].'/'; }private function SeekFile($dir, &$files) { $hnd = opendir($dir); while (false !== ($entry = readdir($hnd))) { if(in_array($entry, array('.', '..'))) continue;if(is_dir($dir.$entry) && !in_array($entry, array('.', '..'))) { $this->SeekFile($dir.$entry.'/', $files); }else{ if(!in_array(substr($entry, strrpos($entry, '.')+1), array('php', 'inc', 'html', 'htm', 'php3'))) continue;$file = $dir.$entry; if(!in_array($file, $files)) $files[] = $file; } } closedir($hnd); }private function Diagnosis($files) { $suspicion = array(); $loop = 0; do { $file = $files[$loop]; $loop++;if($file == $_SERVER['SCRIPT_FILENAME']) continue;$data = file_get_contents($file); $data = preg_replace('//*(.*?)*//is', '', $data); $data = preg_replace('///*(.*)n/', '', $data);if(preg_match('/(^|s|?php3|[?])(eval|system|exec)s*(/i', $data)) $suspicion[] = $file; } while ($loop < count($files));return $suspicion; }public function Run() { $files = array(); $this->SeekFile($_SERVER['DOCUMENT_ROOT'].'/', $files); return $this->Diagnosis($files); } }/** * Main */ $diagnosis = new TDiagnosis;$result['host'] = $_SERVER['HTTP_HOST']; $result['suspicion'] = $diagnosis->run(); echo json_encode($result); ?> - 下のダウンロードボタンをクリックして、監視プログラムをダウンロードします。
- ダウンロードされたプログラムを実行し、URLに(1)に記述されたURLを入力します。
- 下に示すように、疑わしいファイル名を表示するには、診断をクリックしてください。
- 通常ではないコードがある場合は、ファイルを確認してください。
Comments (26)
좋은 프로그램이네요.
저는 최근 랜섬웨어 사건을 보면서 백업을 자주하고 있습니다. 그리고 조금 무거운 보안 플러그인도 하나 설치해놓았는데 얼마나 효과가 있을지 모르겠습니다.
며칠전에 이 프로그램 보고 이거 워드프레스 플러그인화 (option 없는 그냥 설치만 하면 작동되는 간단한 플러그인 형태) 로 만들면 참 좋겠다는 생각을 했습니다.
지금 조선일보 IT 잡지 (정확한 이름이 지금 생각나지 않네요) 에서 워드프레스글을 하나 써달라고 해서 그 글도 쓰고 있는데, 플러그인화 해주시면 플러그인으로 소개해도 좋을 것 같구요. ㅎㅎㅎ
이번에 6주동안 개발자분들을 상대로 워드프레스 튜토리얼을 진행했었는데, front-end 를 잘하는 젊은 친구가 하나 있어서 그 친구하고 Kilho 님 하고 스타트업 하나 하시면 MVP 는 어렵지 않게 하나 뽑을 수 있겠다는 생각이 들었었습니다. MVP 나오면 펀딩은 제가 받고 (물론 저한테도 지분 나눠 주시고) ㅋㅋㅋㅋㅋ
제가 생각하는 MVP 는 Kilho 님의 utility 들을 하나로 packaging 해서 …….
아,… 제 아이디어는, 혹시 관심있으시면 이메일로 드리겠습니다. ㅎㅎㅎ
댓글 보고 뚝딱 해보았습니다 ^^
http://kilho.net/archives/wordpress/1670
아. 그리고, 아이디어가 궁금하네요 ^^ 조만간 여쭤보겠습니다 😉
localhost 와 실서버 두군데서 테스트 해봤는데, 소스파일을 보면 이 프로그램이 실행되면 kh_scan.dat 라는 파일이 생성되어야 하고, 아마 그 파일의 data 를 윈도우 프로그램으로 보내지는 형태 같은데….
저는 kh_scan.dat 라는 파일이 생성되지 않고 있습니다.
플러그인 과 그냥 php 파일 둘다 테스트 해보았습니다.
제 localhost 와 실서버 모두 Nginx 입니다. 오류나는게 이거랑 상관이 있는건지는, 제가 back-end 쪽이 아니라서 잘 모르겠습니다. ^^;;
아, 다운로드 페이지 jQuery 스크립트 오류나고 있습니다. ㅎㅎ
감사합니다 ^^ jQuery 오류부분은 수정하였습니다.
그리고 kh_scan.dat 생성을 plugins/kh-scan 폴더에 저장하려고 했는데 권한문제로 실패되었던거였네요. (테스트 서버가 윈도우라서 생성이 되었던거였네요 ㅠㅠ)
생성파일은 /wp-content/uploads/kh-scan 에 위치하도록 했습니다.
새로 다운받아보시면 됩니다 ^^
아, 혹시 Nginx 때문이 아니라 제가 사용하는 php 버전이 7.14 라서 그런건 아닌지… 100% 근거없는 추측일 뿐 입니다.
앗? 본문에서 설명하신 내용과 실제 코드 작동과 차이가 있네요?
다시 소스파일을 보니 플러그인은 관리자 이메일로 스캔 결과를 보내게 되어있는 것 같습니다.
wp_mail(get_bloginfo('admin_email'), $title, $content);
맞나요?
그리고 이메일 지금 확인해 보니….
Kilho 님 플러그인이 이메일을 제대로 발송한 것 같습니다.
Success!!!! ㅎㅎㅎㅎ
작동 잘 됩니다.
Kilho 님 플러그인 소개글도 하나 쓰고, 조선일보 IT 잡지 글에도 이 플러그인을 언급하겠습니다.
좋은 플러그인 개발해 주시고 공유해 주셔서 감사합니다. ^^
네 ^^ 해당 플러그인은 윈도우 어플리케이션을 사용하지 않고, 발견시 관리자 메일로 정보를 알려줍니다.
워드프레스 자체의 cron 기능을 이용하고 최종 정리해서 올렸습니다 ^^
http://kilho.net/archives/wordpress/1670
혹시 IT조선의 마이크로소프트웨어 아닌가요?
네. 지금 확인해보니 맞습니다.
그런데 생전 처음 들어보는데라… IT조선 이란데가… ㅎㅎㅎㅎ
무슨 잡지회사인지도 잘 모르겠고….
몇명 보지도 않는 잡지 같아서 글쓰기가 싫고 있습니다.
반쯤 써놓긴 했는데…. ㅋㅋㅋ
블로그 글쓰는건 좋은데, 이런 글은 참 쓰기가 싫으네요.
우리나라의 거의 모든 잡지가 구독자 수가 얼마 안 되는 것으로 알고 있습니다.
우리나라 사람들이 책 자체를 잘 안 봅니다.ㅎㅎ
요즘도 그런지 모르겠는데 예전에는 일본 전철 안에서 일본인들이 책 읽는 것을 뉴스에서 다루고 그랬거든요. 그만큼 우리나라 사람들이 책을 안 읽는데 인터넷이 발달하면서 책을 더 안 읽는다는…
Warning: preg_replace(): Unknown modifier ‘*’ in /html/php.php on line 33
Warning: preg_replace(): Unknown modifier ‘/’ in /html/php.php on line 34
Warning: preg_match(): Compilation failed: nothing to repeat at offset 5 in /html/php.php on line 34
오류가나는데요..확인부탁드립니다.
제가 컴퓨터 초보라서 1번에 코드를 서버계정에 올리라는 걸 어떻게 하는지 잘 모르겠습니다.
메모장이나 기타 에디터에 해당 내용을 복사, 붙여넣기 하신 후 파일로 저장하시면 됩니다.
1번에.. 코드가 어떤건지..ㅠㅠㅠㅠ 저도 잘 모르겠어서..ㅠㅠ 부탁드릴게요..ㅠ 메일로라도 가능하시다면.. alstn0228@naver.com 죄송해요 ㅠ
제가 메일을 보냈는지 모르겠네요 ^^; 나야나 랜섬웨어로 서버 복구 과정에서 댓글을 확인을 제대로 못했군요.
다운받고 압축푸니
v3에서 Malware/Gen.Generic.C1094687
감지했다고 삭제합니다.
v3 가 오진하고 있네요. 워낙 오진이 심한 백신이라 ㅎㅎ 첨부파일에 델파이 소스도 포함했듯이 문제가 될만한 부분이 없습니다. 감사합니다 ^^
아…v3가 오진이심한가요??
그럼 뭘로바꿔야할까요?
윈도우10에 기본으로 내장된 Windows Defender 만 사용하셔도 충분합니다. ^^
아직 윈도우10업글을 안했습니다
윈도우7이 쓰기편해서요
그리고 다른게 궁금한게있는데요
K클리너로 강제종료시키는 프로그램 임의로 지정할 수는 없는거죠?
앱체크라는 랜섬웨이프로그램을 사용하고 있는데
그것도 같이 종료되서요
noclean.txt 에 앱체크 파일명을 입력하시면 종료하지 않습니다.
그리고 윈도우7에도 디펜더가 설치되어 있습니다. ^^
종료는 되지 않는데요
앱체크에서 실시간 보호 는 꺼지네요
이건어쩔수없는거죠?
실시간 보호에 관련된 프로그램도 종료된 것으로 예상됩니다.
종료된 프로세서중 관련된게 없는지 확인 한번 부탁드리겠습니다 ^^
아하~~해결했습니다 감사합니다~~~~