윈도우 2008 서버에서 jsp 기반으로 서비스를 제공하는 홈페이지에서 JFoler라는 이름이 붙은 중국어 웹 쉘이 발견되다.
톰캣 설명서를 변조하여 중요 연결고리에 웹쉘 링크가 걸린 형태이다.
Tomcat 운영자의 경우에는 /docs/ 디렉토리를 점검해 볼 필요가 있다.
--
구글 검색 결과 매우 많은 사이트가 이 웹쉘에 감염되어있는 것을 알 수 있었다.
아파치 톰캣 디렉토리/webapps/docs.war가 생성된 것으로 보아 Tomcat manager 페이지를 통해 이 파일을 업로드한 것으로 추정된다.
webapps/docs/funspecs/ 디렉토리에 1.jsp, 2.jsp, 3.jsp, 4.jsp, 5.jsp 등이 존재한다면 반드시 docs.war 파일 및 docs/ 디렉토리를 삭제해야 한다.
유닉스 계열에서 점검용으로 사용할 수 있는 JSP 웹 쉘.
curl, 웹 브라우저에서 모두 보기 편하게 pre 태그를 살짝 집어 넣었다.
POST 방식으로 사용하면 로그에 남기는 흔적을 최소화할 수 있다. 거기에 https라면 금상첨화~~~
간단해서 점검용으로는 편하게 사용할 ...
윈도우 2008 서버에서 jsp 기반으로 서비스를 제공하는 홈페이지에서 JFoler라는 이름이 붙은 중국어 웹 쉘이 발견되다.
톰캣 설명서를 변조하여 중요 연결고리에 웹쉘 링크가 걸린 형태이다.
Tomcat 운영자의 경우에는 /docs/ 디렉토리를 점검해 볼 필요가 있다.
--...
한국은 공공기관을 중심으로 정말 많은 곳에서 JSP(JavaServer Pages)를 사용합니다.
파일업로드 취약점 제거를 위해 대개 JSP 확장자로 된 파일 올리기를 금지하고 있습니다.
그런데, 가끔씩 jspx 확장자 파일 첨부가 가능한 경우가 발생합니다.
JSPX 웹쉘 업로드로...
1. 서버의 다운로드 스크립트내에서 다운로드 가능한 디렉토리 목록을 설정한다.
2. 다운로드를 허용하기 전에 대상 파일의 절대경로(파일시스템 상의)를 생성한다.
3. 대상 파일이 허용 디렉토리 내부 파일이 아니면 거부한다.
JSP의 경우 절대경로는 getServletCo...
