728x90
루마니아 해킹 집단에서 제작된 zmeu라고 불리는 툴이다. 2009년에 발견되었고
CVE ID 는 CVE-2009-1151 이다.
ZmEu Scanner는 phpMyAdmin을 탐색하며 ssh 무작위 대입공격 기능을 한다.
공격 방식은 ~/scripts/setup.php 의 경로를 찾고 phpMyAdmin 설치 과정에서 사용하는 PHP 코드를 통해 설정 파일 내에 웹쉘을 생성한다.
예제
GET /pma/scripts/setup.php
HTTP /1.1
Accept : */*..
Accept-Language : en-us..Accept-Encoding:gzip,deflate..
User-Agent : ZmEu
Host : www.secdata.com
Connection : Close..위 예제는 정탐으로 판정되었고 차단 방법은 알려진 phpMyAdmin의 경로를 재구성 or 유추할 수 없는 폴더명으로 교체, User-Agent 가 ZmEu 패턴 차단을 정책에 포합시킨다.
728x90
'보안 > 보안관제 공격이벤트 정리' 카테고리의 다른 글
| SIEM (0) | 2022.01.26 |
|---|---|
| WebShell 공격 (0) | 2022.01.17 |
| 비허용 Method (0) | 2022.01.17 |
| SQL Injection - URL Encoding (0) | 2022.01.14 |
| GET / POST 특징과 차이점, 공격 이벤트 (0) | 2022.01.14 |