해커가 취약한 서버에서 "Down Ext : PHP"를 악용하는 방법

사이버 보안의 끊임없이 진화하는 환경에서 공격자들은 인터넷 노출 시스템 내에서 약점의 징후를 끊임없이 찾고 있습니다. 이러한 취약점 중 하나는 종종 구성되지 않거나 구식 PHP 기반 서버에서 비롯됩니다."Down Ext : PHP"와 같은 검색 엔진 쿼리를 사용하여 해커는 취약한 PHP 스크립트를 실행하는 웹 서버를 빠르게 찾을 수 있습니다. 이 문구는 초기화되지 않은 것처럼 보일 수 있지만, 사이버 공격의 세계에서 자동화, 오해 및 기회주의가 어떻게 진행되는지 이해하는 관문이 열립니다.

“Down Ext : PHP”는 실제로 무엇을 의미합니까?

"Down Ext : PHP"라는 문구는 Hackers와 Security 연구자가 검색 엔진에서 색인화 된 특정 유형의 웹 페이지를 찾는 데 사용하는 검색 용어 인 Google Dork의 유형입니다. 분해합시다 :

• "다운"- 종종 서비스가 일시적으로 오프라인 상태이거나 기술적 인 어려움에 직면 함을 나타내는 오류 메시지를 표시하는 웹 사이트에 나타납니다.
• "Ext : PHP"- 검색 엔진에 PHP 스크립트를 실행하는 서버의 특징 인 .php Extension이있는 파일 만 찾도록 지시합니다.

이러한 요소를 결합하여 해커는 오류 메시지를 표시하는 PHP 페이지를 검색 할 수 있습니다. 이 페이지는 정보를 누출하거나보다 심층적 인 조사를 위해 진입 점을 제공 할 수 있습니다.

왜 PHP 서버인가? 일반적인 목표

PHP는 웹 개발을위한 가장 널리 사용되는 스크립팅 언어 중 하나입니다. 불행히도, 그 유비쿼터스는 또한 그것을 주요 목표로 만듭니다. 비용 절감 또는 사용자 정의 필요성으로 인해 많은 PHP 응용 프로그램이 자체 주최됩니다. 이 유연성은 개발자에게 유익하지만 업데이트 및 패치가 부지런히 적용되지 않으면 예기치 않은 보안 손상으로 이어질 수 있습니다.

또한 공식적인 보안 교육없이 개발자가 사용자 정의 PHP 응용 프로그램을 작성할 수 있습니다. SQL 주입이 발생하기 쉬운 쿼리, 입력 소독 부족 또는 장황 오류 메시지와 같은 안전하지 않은 코딩 관행은 드문 일이 아닙니다.

해커가 "다운"페이지를 사용하여 서버를 이용하는 방법

다음은 해커가 검색 엔진을 통해 제대로 고정 된 "다운"PHP 페이지를 발견 한 후에 수행 할 수있는 일반적인 단계의 고장입니다.

1. 식별 :해커는 검색 결과를 검토하여 잠재적으로 악용 가능한 페이지를 식별합니다. 이들은 사용할 수없는 관리자 대시 보드, 파손 된 데이터베이스 연결 또는 처리되지 않은 예외 일 수 있습니다.
2. 정보 수집 :이 페이지들 중 다수는 스택 추적 또는 상세한 오류 메시지를 보여주고 소프트웨어 버전, 서버 경로 및 사용자 이름 구조를 보여줍니다. 이 정보는 타겟팅 된 착취를 제작하기위한 금입니다.
3. 입력 테스트 :해당 스크립트에 액세스하면 공격자는 SQL 주입, PHP 객체 주입 또는 로컬 파일 포함 (LFI)과 같은 일반적인 익스플로잇 벡터를 시도합니다.
4. 입력 얻기 :취약성이 발견되면 공격자는 웹 쉘을 업로드하거나 데이터베이스 덤프를 추출하거나 서버 내 액세스를 에스컬레이션 할 수 있습니다.

때때로이 페이지는 로그인 또는 검색 필드와 같이 입력을 허용하는 양식에 연결됩니다. 이들 각각은 숙련 된 해커의 손에 타협 할 수있는 잠재적 인 길이됩니다.

실제 사례 연구 : "Down.php"트랩

소규모 비즈니스를위한 맞춤형 컨텐츠 관리 시스템 (CMS)과 관련된 실제 시나리오를 고려해 봅시다. 잘못 구성된 모듈로 인해Down.php라는 스크립트가 서버 과부하 또는 데이터베이스 재 연결 중에 종종 트리거되었습니다. 스크립트는 페이지에서 장로 오류 로그를 생성하고 노출되었습니다.

• 데이터베이스 호스트 이름
• PHP 버전
• 파일 경로 및 기능 호출

이 스크립트에 위치한 "Down Ext : PHP"쿼리를 사용하는 해커. 2 시간 안에 오류 로그의 정보를 사용하여 데이터베이스 구조와 무차별 적 관리자 자격 증명을 추출했습니다. 이 모든 것은 페이지 자체가 널리 보거나 민감한 것으로 간주되지 않았기 때문에 회사의 모니터링 경고를 설정하지 않고 발생했습니다.

자동화 및 봇의 역할

사이버 범죄자는 종종 이러한 검색을 수동으로 수행하지 않습니다. 대신 봇을 배포하여 Google Dorking 쿼리를 지속적으로 자동화합니다. 이 봇은 결과를 크롤링하고 구문 분석하고 대상 URL을 저장하며 기본 자격 증명 또는 알려진 취약점 테스트와 같은 예비 검사를 수행합니다.

일부 봇은 다음과 같은 도구와 통합하여 한 단계 더 나아갑니다.

• SQL 주입 자동화를위한SQLMAP
• 데이터 검색을위한 컬및WGET
• 자격 증명 Brute-Forcing 용 Hydra

이는 공개적으로 노출 된 가장 작은 오류 페이지조차도 악의적 인 스캔 도구의 표지로 변할 수 있으며, 인간의 눈이 문제를 알아 차리기 전에 무단으로 접근 할 수 있음을 의미합니다.

이 방법을 통해 인기있는 PHP 취약점이 악용되었습니다

PHP 기반 오류 페이지를 타겟팅 할 때 공격자는 종종 착취에 적합한 특정 취약점을 찾습니다. 다음은 가장 일반적인 것 중 일부입니다.

• 원격 파일 포함 (RFI) :공격자는 취약한 스크립트를 사용하여 원격 파일을로드하고 실행할 수 있습니다.
• 로컬 파일 포함 (LFI) :/etc /passwd와 같은 민감한 로컬 파일을 읽을 수 있습니다.
• SQL 주입 :필터링되지 않은 데이터베이스 쿼리는 테이블 및 인증 바이 패스를 완전히 추출 할 수 있습니다.
• 명령 주입 :소독 부족으로 인해 시스템 명령으로 악성 입력이 실행됩니다.

이러한 결함을 악용한다고해서 항상 로그인 액세스 또는 고상한 권한이 필요하지는 않습니다. 오류 페이지, 특히 풍부한 디버깅 데이터가 포함 된 오류 페이지의 의도하지 않은 노출은 숙련 된 공격자가 계획을 개발하기에 충분한 자료를 제공합니다.

완화 전략 : 안전을 유지하는 방법

PHP 응용 프로그램을 보호 할 때 개발자와 시스템 관리자가 사전 입장을 채택해야합니다. 효과적인 완화 전략은 다음과 같습니다.

• 내부적으로 오류를 억제하고 로그인하십시오.브라우저를 통해 사용자에게 표시하는 대신 PHP를 비공개 위치로 로그 로그로 구성하십시오.
• 모든 사용자 입력을 소독하십시오 :준비된 문 및 입력 검증을 사용하여 SQL 주입 및 명령 주입을 방지하십시오.
• 민감한 파일에 대한 액세스 제한 :Down.php와 같은 파일이 관리자에게만 액세스 할 수 있거나 제작 중에 오프라인 상태인지 확인하십시오.
• 검색 엔진 목록 모니터링 :도구를 사용하여 검색 엔진에 사이트가 나타나는 방법을 관찰하십시오. 비정상적이거나 의도하지 않은 페이지가 색인화되는 것을 스캔하십시오.
• 웹 애플리케이션 방화벽 사용 :최신 WAF는 자동 스캐닝 시도를 감지하고 차단할 수 있습니다.

더 큰 그림

사이버 보안에서는 악용하기에는 취약성이 너무 작지 않습니다. PHP 파일의 간단한 "유지 보수를위한 페이지 다운"메시지는 우연히 민감한 운영 세부 사항을 방송 할 수 있습니다. 정교한 공격 자동화 및 널리 사용 가능한 해킹 도구와 결합하면 순간적인 과실조차도 심각한 결과를 초래할 수 있습니다.

귀하 또는 귀하의 조직이 PHP 기반 웹 사이트 또는 응용 프로그램을 실행하는 경우 "Down Ext : PHP"라는 문구는 기술 전문 용어처럼 들리지 않아야합니다. 내성, 업데이트 및 더 나은 프로토콜을 요구해야합니다. 모든 노출 된 PHP 코드 라인은 잠재적 인 공격 표면입니다. 이러한 간격을 닫는 것은 쉽게 찾을 수있는 방법을 이해함으로써 시작됩니다.