최근 iframe 을 이용, 악성코드 삽입에 의한 홈페이지 변조 사고가 빈번히 발생하고 있습니다.
홈페이지 파일 내에서 악성코드를 지우는 것으로 만은 문제가 해결되지 않도록 진화하고 있는 실정입니다.
이 때문에 본의 아니게 나의 홈페이지가 악성코드 배포지로 이용되고 있을 수 있습니다.
이는 감염된 바이러스에 의해 클라이언트 PC 에 저장되어 있던 FTP 정보가
외부로 유출되어 발생하는 것으로, 이에 따른 피해가 발생하고 있으니 대비하시기 바랍니다.
검블러(Gumblar) 또는 GENO 라고 불리는 악성코드는 어도브(Adobe)사의 Acrobat 이나 Flash Player 의
보안패치가 되지 않은 PC 가 특정 Web Site 를 방문하여 감염되는 'Drive by Download' 방식으로 전파되고
있어 그 감염속도가 매우 빠릅니다.
또한 감염된 PC 이용자가 Web Site 의 파일을 관리하는 FTP 클라이언트 프로그램을 가지고 있을 경우
ID 와 Password 를 빼내어 해당 Web Site 의 index, main 등의 이름을 가진 html, php 파일들을
변조해서 악성코드를 다운받도록 코드를 심어놓게 됩니다.
특히, 여러 계정으로 접근하는 웹 에이전시 업체에서는 계정 ID, Password 관리에 각별하게 주의를 기울이시기 바랍니다.
---------------------------------------------------------------------------------
증상 및 대응책은 아래와 같습니다.
증상
1) index, main 등 html, php 로 짜여진 페이지에 iframe 코드 삽입 됩니다.
위와 같이 여러 파일에 걸쳐 iframe 코드가 삽입되어 있는 사항을 검색한 내용
(패턴 : iframe src = "http://xxxxxxxx.ru:8080/index.php" width="xxx" height="xxx" ~~ /iframe )
ru 는 러시아이며, 주소지가 cn (중국)으로 되어 있는 경우도 있습니다.
2) 감염된 페이지 접근시 상당부분 여백 표시됩니다.
3) /var/log/xferlog 에 다음과 같은 패턴의 log 정보가 그려집니다.
------------------------------------------------------------------------------------------------------------
Thu Sep 17 10:45:20 2009 3 89.191.xxx.56 61116 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 10:45:30 2009 3 213.114.xxx.27 61146 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:20 2009 1 95.26.xxx.85 1175 /home/xxxxxxxx/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:27 2009 2 83.165.xxx.24 1210 /home/xxxxxxxx/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:36 2009 1 200.8.xxx.59 164 /home/xxxxxxxx/bbs/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:45 2009 1 87.250.xxx.4 199 /home/xxxxxxxx/bbs/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:54 2009 2 85.226.xxx.15 61146 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:29:00 2009 2 63.232.xxx.166 61177 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
------------------------------------------------------------------------------------------------------------
4) 실제 위 로그를 근거로 해당 계정을 점검해보면 iframe 악성코드를 삽입시켜 놓아 파일을 변조시킵니다.
'o' 는 다운로드, 'i 는 업로드시, 접근지 아이피는 변조된 아이피로 접근시마다 달라집니다.
대응책
1) ftp 접속 비밀번호 변경
(악성코드가 제거되지 않은 상태에서 단순히 비밀번호를 바꾸어 FTP 접속을 하게 되면
지속적으로 ID, Password가 유출되어서 사이트 변조가 지속됩니다.)
2) 에디트 플러스 및 FTP클라이언트 접속시 SFTP로 연결합니다.
☞ http://dev.kimsq.com/qnote.php?mid=142&t=3&r=view&uid=5020&precat=&cat=0802
3) Adobe Flash update
Adobe 사이트에 방문하여 Flash Player 를 10.0.22.87 버전 이상으로 업데이트 합니다.
☞ http://get.adobe.com/kr/flashplayer/?promoid=DRHWS
4) Acrobat Reader 를 9.1.1 버전 이상으로 업데이트 합니다.
☞ http://get.adobe.com/kr/reader/
5) 알약 등의 최신 백신을 다운로드 하시어 사용하시는 PC를 반드시 점검해 보시기 바랍니다.
☞ http://alyac.altools.co.kr/Main/Default.aspx
관련 기사
▲ 제노(Geno) 바이러스
http://www.dt.co.kr/contents.html?article_no=2009062402012269739001
▲ 관련보도/리포트 링크
http://www.boannews.com/media/view.asp?idx=16569&kind=1
http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=55938
출처 : http://dev.kimsq.com/index.php?mid=166&r=view&uid=5017
홈페이지 파일 내에서 악성코드를 지우는 것으로 만은 문제가 해결되지 않도록 진화하고 있는 실정입니다.
이 때문에 본의 아니게 나의 홈페이지가 악성코드 배포지로 이용되고 있을 수 있습니다.
이는 감염된 바이러스에 의해 클라이언트 PC 에 저장되어 있던 FTP 정보가
외부로 유출되어 발생하는 것으로, 이에 따른 피해가 발생하고 있으니 대비하시기 바랍니다.
검블러(Gumblar) 또는 GENO 라고 불리는 악성코드는 어도브(Adobe)사의 Acrobat 이나 Flash Player 의
보안패치가 되지 않은 PC 가 특정 Web Site 를 방문하여 감염되는 'Drive by Download' 방식으로 전파되고
있어 그 감염속도가 매우 빠릅니다.
또한 감염된 PC 이용자가 Web Site 의 파일을 관리하는 FTP 클라이언트 프로그램을 가지고 있을 경우
ID 와 Password 를 빼내어 해당 Web Site 의 index, main 등의 이름을 가진 html, php 파일들을
변조해서 악성코드를 다운받도록 코드를 심어놓게 됩니다.
특히, 여러 계정으로 접근하는 웹 에이전시 업체에서는 계정 ID, Password 관리에 각별하게 주의를 기울이시기 바랍니다.
---------------------------------------------------------------------------------
증상 및 대응책은 아래와 같습니다.
증상
1) index, main 등 html, php 로 짜여진 페이지에 iframe 코드 삽입 됩니다.
위와 같이 여러 파일에 걸쳐 iframe 코드가 삽입되어 있는 사항을 검색한 내용
(패턴 : iframe src = "http://xxxxxxxx.ru:8080/index.php" width="xxx" height="xxx" ~~ /iframe )
ru 는 러시아이며, 주소지가 cn (중국)으로 되어 있는 경우도 있습니다.
2) 감염된 페이지 접근시 상당부분 여백 표시됩니다.
3) /var/log/xferlog 에 다음과 같은 패턴의 log 정보가 그려집니다.
------------------------------------------------------------------------------------------------------------
Thu Sep 17 10:45:20 2009 3 89.191.xxx.56 61116 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 10:45:30 2009 3 213.114.xxx.27 61146 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:20 2009 1 95.26.xxx.85 1175 /home/xxxxxxxx/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:27 2009 2 83.165.xxx.24 1210 /home/xxxxxxxx/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:36 2009 1 200.8.xxx.59 164 /home/xxxxxxxx/bbs/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:45 2009 1 87.250.xxx.4 199 /home/xxxxxxxx/bbs/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:54 2009 2 85.226.xxx.15 61146 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:29:00 2009 2 63.232.xxx.166 61177 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
------------------------------------------------------------------------------------------------------------
4) 실제 위 로그를 근거로 해당 계정을 점검해보면 iframe 악성코드를 삽입시켜 놓아 파일을 변조시킵니다.
'o' 는 다운로드, 'i 는 업로드시, 접근지 아이피는 변조된 아이피로 접근시마다 달라집니다.
대응책
1) ftp 접속 비밀번호 변경
(악성코드가 제거되지 않은 상태에서 단순히 비밀번호를 바꾸어 FTP 접속을 하게 되면
지속적으로 ID, Password가 유출되어서 사이트 변조가 지속됩니다.)
2) 에디트 플러스 및 FTP클라이언트 접속시 SFTP로 연결합니다.
☞ http://dev.kimsq.com/qnote.php?mid=142&t=3&r=view&uid=5020&precat=&cat=0802
3) Adobe Flash update
Adobe 사이트에 방문하여 Flash Player 를 10.0.22.87 버전 이상으로 업데이트 합니다.
☞ http://get.adobe.com/kr/flashplayer/?promoid=DRHWS
4) Acrobat Reader 를 9.1.1 버전 이상으로 업데이트 합니다.
☞ http://get.adobe.com/kr/reader/
5) 알약 등의 최신 백신을 다운로드 하시어 사용하시는 PC를 반드시 점검해 보시기 바랍니다.
☞ http://alyac.altools.co.kr/Main/Default.aspx
관련 기사
▲ 제노(Geno) 바이러스
http://www.dt.co.kr/contents.html?article_no=2009062402012269739001
▲ 관련보도/리포트 링크
http://www.boannews.com/media/view.asp?idx=16569&kind=1
http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=55938
출처 : http://dev.kimsq.com/index.php?mid=166&r=view&uid=5017
네로의 일기장
recent comments