언젠가부터 등장하여 꾸준히 발생되고 있는 ZmEu 웹서버 스캔 이벤트에 대해 알아보자
해당 스캐닝은 루마니아의 해킹 집단에서 제작된 ZmEu라고 불리는 툴을 이용하여 이루어지며 전세계적으로 지속적으로
발생되고 있다고 한다.
발생되고 있다고 한다.
phpMyAdmin이 설치된 웹 서버 중 취약점이 존재하는 서버 대상으로 행해지는 이 공격은 성공시 해당 웹서버를 완전하게
장악할 수 있다
장악할 수 있다
* phpMyAdmin은 웹서버상에서 MYSQL의 관리자로서 DB를 처리할 수 있도록 만들어진 PHP툴로 데이타베이스를 생성/삭제,
테이블 생성/삭제, 필드 생성/삭제, SQL 문장 실행, 권한 관리 기능 실행가능하다
ZmEu 툴로 발생된 트래픽의 헤더부분은 특정한 문자열이 포함되어 있어 아래의 패턴으로 보안장비에서 탐지가능하다.
→ 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A 20 5A 6D 45 75 // User-Agent:.ZmEu
 |
| [그림 1. 패킷 정보] |
## 추가 정보
* CVE ID : CVE-2009-1151
* 해결책: 서버 점검을 통해 취약점을 제거하도록 하며(버전업데이트 등), 보안장비에서 해당 스캐너의 접근을 차단한다.
댓글 없음:
댓글 쓰기