아침에 고객사에서 전화가 왔습니다

홈페이지 접속이 안된다고 ...

뭔일인가 싶어서 들어가보니 config.php 에러라면서 오류메시지가 주루륵 뜨고 있네요.

ftp 접속해보니 config.php 가 해킹코드로 변조되어 교체가 되어 있더군요.

기존 파일은 config.php.tmp 로 변경해놓고 말입니다 ( 삭제 안해서 고맙기는 하더군요 )

특이한것은   error_log.txt 라는 이상한 파일이 보이네요

내용은 아래와 같이 적혀 있네요

---------------|V0y493|---------------
USER AGENT: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36

Email: hello@test.com
Password: asfasdfasdfas

IP : 119.160.97.2**
--------------------------------------------
City: Lahore
Region: Punjab
Country Name: Pakistan
Country Code: PK
---------------------------------------------

본문에 보이는 ip 는 홈페이지 웹서버 ip도 아니고... (끝에 두자리만 변경)

해킹 경유한 아이피인거 같기도 하고 ...

그누보드 5 로 업그레이드를 해야할듯 싶어서

호스팅사에 php 5.2 이상 사용가능한 서버로 이전을 요청했네요.

서버에 대한 전체적인 해킹이 된건지,

플래시 버그에 대한 해킹인건지,

그누보드 4.33.00 취약점 해킹인건지,

명확하지는 않지만, 아마도 그누보드4 취약점에 대한 해킹이 아닐까 추측하고 있습니다

최대한 빨리 그누보드 5 로 올라가야 겠습니다.