묻고답하기
index.php파일에 누군가가 iframe코드를 삽입하는데요..
2009.07.24 00:01
열흘전에 갑자기 홈페이지가 열리지 않아서 확인해 보니
index.php 파일 맨끝에 아래 그림과 같은 코드가 삽입되어 있더군요.
아래 그림과 같은 코드가 삽입되어 있으니까 파폭에서는 홈페이지가 열리는데 익스플로러에서는 열리지 않는 증상이 발생합니다.
열흘동안 총 3번의 침입(?)이 있었고, 아래 그림에는 3번의 흔적을 캡쳐해서 합쳐놓은 건데요..
두번은 xe의 버전이 1.2.4가 아니고 한참 아래 버전이었구요.
나머지 한번은 1.2.4 입니다. 버전이 낮아서 이런일이 발생하나보다 했는데 1.2.4에서도 발생하네요..
1.2.4로 업그레이드 할때 빈 디렉토리에 새로 설치한 후
files/attach 폴더
scmlog모듈과 scmlog애드온 폴더
직접만든 레이아웃 폴더만
복사해서 사용했는데 원인이 무엇때문인지 모르겠네요..
검색해보니 같은 증상을 겪은 분이 있던데 해결책은 없는것 같네요,
호스팅업체에 문의해 보니 아래와 같이 이야기 하는데 정말 xe에 취약점이 존재하는 걸까요??
"제로보드xe 버젼의 보안취약점을 이용하여 index.php파일에 iframe소스를 삽입하는 웹의 경로를 통한 공격을 받으신 것으로 파악이 됩니다. "
댓글 3
-
소리없이
2009.07.24 01:32
저도 똑같은 바이러스를 먹었는데요 저도 그런쪽으로는 잘 모르겠으나.. 호스팅 업체와 다른 계시판에 문의한결과 전에 백업했었던 파일을 다시 그대로 덮어씌우던지 .. 하라고 하던데요 그런데 제가 백업했었던 파일이 없어서 전 그대로 전체 포더를 다 다운받아서 하나하나 다 지웠습니다 보시면 대부분 맨 밑 라인부분에 에 아이프레임이 되어있습니다. 대부분이 admin 으로 시작되는 파일이거나 main 이나 home 이란 제목이 붙어있는 파일이면 다 하나씩 붙어있더라고요. 그래서 전체 파일을 열어서 하나하나 다 지웠더니 사라지더군요. 1시간정도 걸린것 같습니다 = =; 죄송합니다. 다른방법을 드리지 못해서요. 그리고 폴러 퍼미션을 다 바꿔버렸습니다. - -;; -
디따마니
2009.07.24 09:26
수정하는데 1시간이나 걸릴만큼 많은 파일이 변조되었는데도 사용하는데 이상없나보네요..
저는 딱 2개 파일(index.php하고 common/tpl/default_layout.html)에만 추가되어 있는데 방법을 찾아 봐아겠네요.
감사합니다.
-
디따마니
2009.07.24 20:26
원인을 찾았습니다.
호스팅업체에 문의 했더니
ftp로 접속해서 index.php 파일을 수정한 기록을 보여 주더군요.
아이피 주소를 보니 모두 해외(홍콩, 마케도니아,미국, 브라질...)로 나오구요.
악성코드에 감염된 pc에서 접속했을때 id,pw가 노출되었나 봅니다.
여기저기 다니면서 아무 pc에서나 ftp로 로그인했는데 그 중 한 pc가 아이디,비번 훔치는 악성코드에 감염됐었나 봅니다.
xe의 취약점을 이용한 공격이 아니라는 증거가 하나 더 있는데
xe가 설치된 디렉토리보다 상위 디렉토리(그러니까 웹으로는 접속 할 수 없는 디렉토리)에 있는 파일도 수정을 했더군요.
아마 사람이 직접하는게 아니고 프로그램이 자동으로 하는것 같습니다.
ftp로 접속후 특정한 이름을 가진 파일에만 자신들의 iframe코드를 삽입하는 식으로요.
xe가 설치된 디렉토리보다 상위 디렉토리에 index.html이라는 파일이 있는데 그 파일도 수정을 했더군요. 내용은 빈 파일인데 말이죠.
