14 years, 3 months 전-
Thu Aug 19 13:21:35 2010] [error] [client xxx.169.123.xxx] ModSecurity: Warning. Pattern match “=(http|https|ftp)\\:/” at REQUEST_URI. [msg “PHP Injection Attacks”] [hostname “aaa.com”] [uri “/wp-content/themes/CreativeZodiac/scripts/timthumb.php”] [unique_id “TGyxTz37pWgAAHNcLkcAAAAp”]
에러로그에 이런 메세지가 나타나는데, Attacks 이란 단어가 위험함을 알리는것 같아 마음에 걸려 이렇게 질문드립니다.
안녕하세요.
해당로그는 PHP Injection의 위험이 있음을 알려주는 로그입니다.
ModeSecurity가 클라이언트로부터 웹요청이 들어올 때 웹서버를 처리하기전에 요청내용을 분석하여 사전에 정의된 Rule에 의해 필터링을 하게 된후 발생한 로그입니다.
현재 사용중인 테마 CreateZodiac의 소스의 특정부분이 PHP Injection의 위험이 있는 것으로 판단됩니다.
[PHP Injection : 공격자가 웹서버에서 원하는 스크립트를 실행하거나 백도어를 업로드 또는 실행하는 등]
로그만으로는 정확한 원인을 분석하기는 어려우나, 해당 테마에서 어떠한 스크립트를 실행한 후 테마를 나타내는것으로 추측됩니다.
로그의 표시된 다음의 소스를 확인하면 더 정확한 원인을 알 수 있을 듯 합니다.
[uri “/wp-content/themes/CreativeZodiac/scripts/timthumb.php”]
- 답변은 로그인 후 가능합니다.