php 의 보안이슈(정확히는 apache인가?)

알아둘일 2008. 9. 23. 18:15

share this post

어! 저런 것이 가능하군.
http://phpschool.com/gnuboard4/bbs/board.php?bo_table=tipntech&wr_id=63126

.php 만 실행되어야 하는데, .php.en, .php.1, .php.2 등이 실행이 되버리면 어쩌란 말인가?

상식적으로 저게 되는 이유를 모르겠다.
버그가 아니라도, 저런 위험성을 내포하고 있다는 것은 꽤 큰 보안이슈임에 틀림없다.

정확하지는 않지만, apache 의 php , perl, python 등 Server Side Script 를 처리하는 방법의 문제가 아닐까 생각이 든다. 외국 사례를 찾아보다 보니 꽤 오래전에 언급이 되었나보다.
http://seclists.org/vulnwatch/2006/q3/0002.html

근데, 저 이슈가 왜 잠잠(?)했었지?
다들 별로 대수롭지 않게 생각했나?

옵션으로 처리가능한지 모르겠지만, 우분투, Centos 등의 기본설정으로도 저게 가능하다면 문제가 좀 심각해 보인다.
오래전부터 가능했던 문제인듯 싶은데, 검색능력이 딸려서 어떻게 해결되었는지 모르겠다.
apache 쪽에 분명 관련 내용이 있을 법 한데. 못찾겠다.
직접 문의를 해볼까?

'알아둘일' 카테고리의 다른 글

zend studio(zend framework) + xampp 개발환경시 주의사항 (0)	2008.09.28
2008년 9월 - 대단한 기업들의 생일 (2)	2008.09.27
vista , virtualbox , vnc - V3 의 만남? (0)	2008.09.08
개인정보유출 사례 - 옥션부터 GS칼텍스 까지 (0)	2008.09.05
스팸메일의 유형은 어떤것이 많을까? (0)	2008.08.14

WRITTEN BY

: 1day1
하루하루 즐거운일 하나씩, 행복한일 하나씩 만들어 가요.

,

경찰에서 스팸발송자 용의자로 진술하라고 연락이 왔네요.

잡다한일 2008. 9. 19. 01:48

share this post

이쪽 업계에 있다보니 이런일도 있군요.

경찰에서 연락이 왔는데, 처음에는 아이디/암호 유출시켰다고 경찰서에 오라고 하더군요.

헉! 무슨일이. 아! 뒷골.

처음에 직접받은것이 아니고 다른 사람이 받았는데, 아주 범죄자 취급하듯이 말했나 봅니다.

이야기를 들어보니, 다음 한메일로 스팸이 발송이 되었나 봅니다.

그래서 다음 사용자가 사이버수사대에 신고를 한 듯 합니다.(정확한것은 경찰서 가서 알아봐야 할 듯)

크래커(해커?)가 서버의 취약점을 찾아 스팸경유지로 사용된 듯 합니다.

지난번 개인정보유출(옥션,GS칼텍스 등..)된 정보가 이런곳에 사용이 되나 봅니다.

근데, 서버의 smtp 를 이용한게 아니라, 다음 한메일을 이용한 것 같습니다. 공격코드를 살펴보니 다음 한메일에 직접 아이디/암호 넣고 로그인해서 메일쓰기 폼에서 바로 발송을 해버리는 코드더군요. (간단한 파일 하나입니다.)

흠! 유출된 정보로 스팸을 보내버리는구나. 따로 스팸발송서버 없이 간단한 웹해킹 만으로 되네요.

서버로 웹호스팅을 하는 것이 아니라, 아는 사람들 홈페이지정도 돌리는 서버라 이런 피해는 처음이지만, 웹호스팅 하는 업체들은 '이런 일이 수시로 발생하나?' 그런 생각이 문득 드네요. 고생이겠군. (돈도 안될텐데...)

다음주 즈음에 경찰서 가봐야 할텐데, 어떻게 설명하면 좋을까요?

말을 잘 알아들으면 좋겠는데, 못 알아들어서 '안습'인 상황이 되는 것이 아닌가? ㅜㅜ

이런 경험있으신분 계시면 조언 부탁드려요. ^^

아! 그리고, 웹호스팅 혹은 개인적으로 서버돌리시는 분들 조심하시기 바랍니다.
간단한 웹해킹방법으로 저같이 스팸경유지로 사용되거나 혹은 SQL인젝션 공격등도 당할 수 있으니, 서버 점검 해보시기 바랍니다. 구체적으로 어떻게 공격을 당하게 되었는지는 이 사건이 해결되면 따로 설명을 포스팅해보도록 하겠습니다.

ps. 다음 한메일 관계자 분들은 따로 연락주시면, 관련자료를 보내드리겠습니다.

스팸방어에 도움이 될 듯(이미 알고 계실지도 모르겠군요)

'잡다한일' 카테고리의 다른 글

비스타의 최대절전모드 - 싫다. 복구 실패 (2)	2008.10.03
20만원이냐, 60만원이냐, 120만원이냐. (0)	2008.09.25
Good Bye 엠파스. 잘가요 엠파스 (0)	2008.09.17
비스타 최대절전모드 의 이상한 점. (0)	2008.09.09
미니노트북(넷북)의 경쟁은 배터리 경쟁이 될까? (0)	2008.09.08

WRITTEN BY

: 1day1
하루하루 즐거운일 하나씩, 행복한일 하나씩 만들어 가요.

,

Good Bye 엠파스. 잘가요 엠파스

잡다한일 2008. 9. 17. 21:37

share this post

# 엠파스가 사라지게 된다.
http://ypshin.com/2690471
http://poem23.com/1011
http://www.dal.kr/blog/001784.html
http://itviewpoint.com/74939

SK컴즈에 인수되었을 때 엠파스가 사라지겠구나 했는데, 한동안 없앤다는 소식이 없었다.
엠파스가 네이트 보다는 네임밸류가 더 높으니까 유지할려고 하나? 그런 생각은 했었다.
그러다가 결국에는 엠파스가 사라지게 되었다. 그동안 어떻게든 살려보려 했던 것인가?

# 근데, 약관변경 메일이 와 있던데...

# 엠파스의 파일박스가 참 좋았는데.. 못 쓰게 되는가?

# 마지막 empas 의 스샷을 남겨본다(아직은 아니지만...)

# 엠파스 메일로 신청했던 서비스들 고쳐놔야 겠다.(얼마 없긴 하지만...)

'잡다한일' 카테고리의 다른 글

20만원이냐, 60만원이냐, 120만원이냐. (0)	2008.09.25
경찰에서 스팸발송자 용의자로 진술하라고 연락이 왔네요. (4)	2008.09.19
비스타 최대절전모드 의 이상한 점. (0)	2008.09.09
미니노트북(넷북)의 경쟁은 배터리 경쟁이 될까? (0)	2008.09.08
이제 넷북(미니노트북)에 관심이 가질만큼 싸졌나? (2)	2008.09.06

WRITTEN BY

: 1day1
하루하루 즐거운일 하나씩, 행복한일 하나씩 만들어 가요.

,

PHP Fest 2008 in korea

즐거운일 2008. 9. 17. 15:51

share this post

오! 한국에서도 PHP fest 도 하는군요.
참 많이 쓰이는 언어임에도 저런 행사는 거의 없었죠.

자세한 사항은 이곳에서.
http://www.phpkorea.org/PHPFest/2008

앞으로 PHP 쪽의 이런 행사가 많았으면 좋겠네요.

특히 eclipse 와 php 의 개발환경에 관심을 가지고 있는데, 좋은 행사가 되겠네요.
cakephp 프레임웍에 대한 이야기도 Good.

'즐거운일' 카테고리의 다른 글

윈도우 7 베타? 우분투는 정식 릴리스(Intrepid Ibex) (0)	2008.10.29
이것도 직업병? (0)	2008.10.13
검색질의와 포스팅, 태그와 위젯 - 블로거 앤서즈. (0)	2008.09.12
크롬 좋은데, 글은 잘 써지나. (4)	2008.09.03
오프라인 프로그래밍 모임 (0)	2008.08.29

WRITTEN BY

: 1day1
하루하루 즐거운일 하나씩, 행복한일 하나씩 만들어 가요.

,

구글은 TNC 를 통해 무엇을 얻고 싶을까?

생각할일 2008. 9. 12. 16:08

share this post

구글이 TNC 를 인수하다. 큰 사건이군.
앞으로 어떤일이 벌어질지는 알 수 없겠지.

TNM(태터앤미디어), TNF(태터앤프렌즈,태터네트워크파운데이션) 과는 별도.

구글이 TNC 를 인수한 이유는 여러가지가 있겠지.(그들의 속내를 누가 알리요)
TNC 의 최대 성공작(?)은 무엇일까? 바로 '티스토리' 이다.
지금은 다음에서 지분을 모두 가져갔기 때문에 관련이 없지만, 그 성공의 발판은 TNC 에서부터 시작이 된 것이다.

자! 구글이 TNC 로 부터 무엇을 얻고 싶을까?

1. 제2의 티스토리를 얻고 싶어.
그냥 단순하게 생각하면 그렇다. 현재 텍스트큐브닷컴을 제2의 티스토리로 만들고 싶어할 것이다. 광고를 붙이기에도 좋다. 단기적으로 봤을때 가장 적절한 이유일 듯 싶다.

근데, 구글이 단순히 또다른 블로그서비스를 만들기위해 인수할까? 그것도 컨텐츠가 확보되지 않은 지금부터 채워야하는데, 그렇게 어렵게 할까? 라는 의문이 든다.

2. 또다른 서비스를 기획한다.
이건 장기적인 관점. 즉, TNC 의 운영진을 보고 인수한 것이다. 현재 구글의 국내진출이 지지부진한 가운데 그 활로를 모색하기 위한 브레인(아이디어뱅크?)을 확보하려는 것이다. 그래서 TNC 운영진과 함께 새로운 서비스를 기획해서 내놓지 않을까 하는 생각이 든다.
그 새로운 서비스가 블로그와 관련된 것일 수도 있고, 아닐 수도 있겠지.(관련된 것일 가능성이 많을것이다)

내 생각으로는 1번처럼 당장 이익을 얻기에는 해야할 일이 많은 것보다는 장기적관점의 새로운서비스가 나올 가능성이 많아보인다.

ps. 다만 구글! TNC 말아먹지는 말아줘.

'생각할일' 카테고리의 다른 글

친숙한 느낌이 어울리는 쇼핑몰. 그 이유는 블로그? (0)	2008.10.13
NHN 의 큐브리드 인수와 오픈소스화 (0)	2008.10.02
구글 크롬(Chrome)이 active-x 를 껴안을까? (2)	2008.09.03
블로그와 네이버 (해피빈과 네이버) (0)	2008.08.29
네이버는 블로거를 파워블로거로 만들어 줄까? 힘을 줄까? (0)	2008.08.14