웹마스터 팁
알 수 없는 아이프레임이 심어졌을 때 (치명적인 바이러스)
2009.08.08 12:29
몇몇 분이 질문게시판에 증상을 올리셨고 제가 직접 겪어본 일이기에 팁으로 올립니다.
어느 날 갑자기 멀쩡하던 홈페이지 레이아웃이 엉망으로 바뀌면서 관리자 페이지도 못들어가는 증상이 발생하여 index.php 소스를 내려받아 코드를 살펴보니 원래는 없던 코드가 아이프레임 방식으로 히든처리되어 심어져 있었습니다.
코드는 <iframe src="./hxxxxxp://bestfindaloan.cn:8080/index.php" width=116 height=188 style="visibility: hidden"></iframe> 식입니다. 주소는 매우 다양합니다 (6월6일자 보고에 의하면 48,000개 도메인) <= 바이러스 감염될 수 있으니 위 주소에 접속은 하지 마세요.
처음 접하는 순간 뒤통수를 얻어맞은 것처럼 멍해졌지요. 완전히 안방을 내준 꼴...
제가 관리하는 홈페이지(호스팅사 동일)가 두개인데 예전에 테크노트로 만든 교회홈페이지 하나와 근래에 XE로 만든 개인 홈페이지가 그 것인데 하루 간격으로 동일한 증상을 보였습니다.
XE로 만든 홈페이지는 일단 index.php에 삽입된 아이프레임 코드를 삭제하고 업로드 한다음 FTP 패스워드를 바꾸니까 ( 아직 안심은 안됩니다만) 임시해결은 되었습니다.
그런데 테크노트로 만든 홈페이지는 지금까지 사태가 심각합니다.
문제발견 당시 index.html을 원상 복구하니 정상으로 돌아와서 "짜식 별거 아니구만" 생각하고 농촌봉사를 몇 일 갔다온 사이 사태가 심각하게 진행된 것 같습니다. index, default, main, home 이 들어간 모든 파일이 변조되고 난리가 아닌 겁니다.
부랴부랴 변조된 날짜 추적해서 원상복구하고 안심하는 사이 다음 날 또 같은 증상이 재발하는겁니다.
할 수 없이 호스팅업체에 문제 발생이전 백업본으로 복구를 요청했는데 백업본도 이미 감염된 상태라는 답변입니다.
원인추적 : 첫째, 제 로컬PC(사무실)에 스파이웨어가 심어져서 FTP 아이디와 패스워드를 빼갔다. (알약을 몇번 돌렸는데 깨끗합니다)
둘째, 호스팅사의 동일 서버에 있는 다른 사이트가 뚤렸다.
셋째, 집에서 아이들이 쓰는 PC로 FTP작업을 한적이 있는데 그 곳에서 뚤렸다. 는 것으로 압축
지금 해결된 상태는 아니지만 원인과 해결의 실마리는 찾았기에 팁으로 올립니다.
1. 바이러스 명 : 신종 지능형 웜바이러스 Gumblar (일명 제노바이러스)
2009년3월에 처음 발견되어 급속히 번지고 있으며 현존하는 바이러스중 가장 악질적인 바이러스 (ZDnet)
공격유형이 최근 최악의 웜바이러스로 불리는 Conficker 바이러스보다 치명적
Google의 검색결과를 조작시켜 악성코드를 내포한 사이트로 유도하는 기능도 있슴
익스플로러 브라우저 자체에 악성코드를 주입시켜 웹트래픽유발
2. 감염경로
가. 퍼스널컴퓨터 1차 감염
위 바이러스에 감염된 사이트에 접속하면 바이러스를 만든 공격자의 홈페이지(아이프레임에 심어진 사이트 : 최초에는 gumblar.cn 이었는데 지금은 수만개의 숙주사이트-합법적이고 정상적인 사이트임-가 존재)로 리다이렉트되고 방문자의 퍼스널컴퓨터로 감염된 PDF파일을 내려받게 한다. 감염된 PDF파일는 아크로뱃리더 또는 플래시플레이어의 취약점을 이용하여 방문자의 퍼스널컴퓨터에 대한 접근권한을 취득한다. 그 후 바이러스는 FTP 클라이언트(파일질라,드림위버,나모,CuteFTP,WsFtp,알FTP 등)의 패스워드를 빼내 공격자의 호스트로 보내고 때로는 윈도우프롬프트, 레지스트리에디터, 안티바이러스프로그램을 무력하게 만든다.
나. 서버 2차 감염
공격자의 호스트사이트는 퍼스널컴퓨터에서 획득한 패스워드를 이용하여 FTP를 통해 멋이감 웹사이트에 접속해서 다량의 파일을 내려받아 악성코드를 주입하고 다시 업로드시킨다. 그코드는 HTML,PHP,JavaScript,ASP,ASPx 등 body 태그가 포함된 파일에 삽입된다. 삽입된 악성코드는 그 코드를 실행하는 컴퓨터(방문자의 퍼스널컴퓨터)를 감염시키도록 자바스크립트를 포함하고 있다. 여기에 더하여 몇몇 파일(위에서 언급한 index,main,home,default) 에는 아이프레임을 삽입시킨다. 바이러스는 또한 .htacess 및 HOSTS 파일을 변조시키며 images 폴더에 images.php 파일을 생성시킨다. 감염은 서버전체로 퍼지는 것은 아니고 패스워드가 탈취된 사이트에서만 일어난다.
위 가항과 나항의 모든 과정은 프로그램에 의해 자동 진행된다.
3. 감지 및 처방
가. 퍼스널컴퓨터
바이러스 감염의 시작점이기때문에 퍼스널컴퓨터부터 손봐야 합니다. 먼저 안티스파이웨어 Tool로 스캔을 합니다. 알약이나 Kaspersky으로는 검출이 안됩니다. 검출 가능한 툴은 Malewarebytes(무료버전) 이나 HijackThis 입니다. 저는 Malewarebytes로 돌려보니 알약으로는 깨끗했던 사무실 컴퓨터가 24개의 Trojan.BHO, Trojan.Games Thief, Trojan Backboor 등 다양하게 점령당했더군요. 일단 치료후 컴퓨터가 깨끗해진 것이 확인되면 반드시 FTP 패스워드를 변경하고 재감염을 막기 위해서는 접속편의를 위해 FTP 클라이언트에 패스워드를 저장해놓고 쓰는 방식은 하지 말아야 합니다. 번거롭더라도 그때 그때 패스워드를 입력해서 접속하세요.
나. 서버
서버는 완벽히 깨끗이 정리되어야 합니다. 단 한개의 감염된 파일이 남아 있어도 재감염됩니다. 가장 권장하는 방법은 깨끗한 백업본이 있다면 서버에 있는 파일을 싹 지우고 백업본으로 대체하는 것이고, 아니면 서버에 있는 파일을 내려받아 안티바이러스 프로그램으로 치료후에 재업로드 하는 것입니다. 아이프레임으로 심어진 악성 코드는 수작업으로 리무브시켜야합니다.
이상입니다.
cgi?pepsi로 사이트 검색해보면 감염된채로 있는 사이트 수두룩하게 나옵니다. 아이프레임코드가 화면에 그대로 노출되는 사이트도 있고 그렇네요. 보안패치가 안되어 있을 경우 특정 웹사이트를 열기만 해도 감염이 됩니다. 다행인 것은 바이러스를 유포하는 근원적인 호스트가 현재는 비활성이라는데 언제 활동을 재개할 지 모른다고 합니다. 그렇더라도 안전을 위해서 감염된 사이트에 안들어가는게 상책인데 악성코드가 숨김속성이어서 어떤 사이트가 감염되었고 어떤 사이트가 정상인지 구별하기가 힘들다는 것입니다.
언제 내 사이트도 숙주가 되어 바이러스 유포지로 전락할지 모르니 걱정이네요. 잠시 그 상황에 갔었지만..
실시간 바이러스 감시는 항상 켜두시고,
FTP계정 패스워드는 특수문자를 포함하여 변경,
FTP 클라이언트의 비밀번호 저장기능 체크해제,
어도비사의 아크로뱃리더와 플래시플레이어 보안패치하세요.
도움이 되시기를..
댓글 6
-
극마
2009.08.09 19:00
-
위크니
2009.08.12 15:01
에공 감사합니다. ;ㅅ; 이거 당장 검사해봐야겠네요.
근데 오타 발견!^^ Malewarebytes 가 아니라 Malwarebytes 네요ㅎㅎㅎ
-
LunarDream
2009.08.18 12:05
제가 관리해 주는 사이트도 그런 공격 받았었는데...
별에 별 짓을 다 해도 안되더라고요. ㅎㅎ
한국 인터넷 진흥원 홈페이지에서 뭐시기 캐슬인가?
그거 받아서 설치하니깐 더 이상 아이프레임이 삽입되지 않더군요.
-
하이그림
2009.08.20 02:02
이넘 땜에 죽을 것 같아요 ㅠㅠ
데이터 갈아 치워도 하루 지나면 다시 홈페이지 엎어놔서..
웹 자체에서 필터 안되나요??
-
teuss
2009.08.23 22:06
여기서 Malwarebytes를 다운 받으시면 됩니다...
스펠링 조심!!!!
-
띵야
2009.09.13 14:53
아시는 분은 아시겠지만, 어느 백신이나 너무 믿지는 마시길...
많이 검출하는 백신은 엉뚱한 프로그램을 바이러스 등으로 오인하는 일도 잦다는 사실...
(얼마전까지만 해도 멀웨어바이트는 네이트온도 바이러스로 검출했었습니다.)
제목 | 글쓴이 | 날짜 |
---|---|---|
/?module=admin 로 들어가지지 않아요. [2] | oO나쁜토끼Oo | 2009.09.29 |
오른쪽 서브메뉴영역 제목 이미지로 나타내기 [6] | hbeen | 2009.09.11 |
IIS 6.0에 rewrite mod 적용하기 [5] | 천애소원 | 2008.11.14 |
비회원 글쓰기가 되지 않을 경우.. | 태쥐 | 2009.10.01 |
MySQL server has gone away 에러 대응 | 고수군 | 2009.09.30 |
이미지마크 쓸 경우 레벨아이콘 위치 바꾸기 | 고진감래 | 2009.09.30 |
방명록 게시판에서 확장변수 검사 안되는 문제 임시 방안 | June Oh | 2009.09.28 |
모든 사이트 운영하는분들 읽어보셨으면 좋겠네요 [6] | NEARSTORY | 2009.08.12 |
에디터 컴포넌트 목록이 안 나올 때 해결법 [2] | SMaker | 2009.06.14 |
파일첨부 안될때 | 정박사닷컴 | 2009.09.24 |
최근문서위젯의 제목을 누르면 게시판으로 이동 [3] | CL님 | 2008.04.13 |
게시판 확장변수 일괄 등록 하기 [2] | 2년후 | 2009.09.20 |
네이버 실시간 인기검색어 가져오는 함수 [2] | Darby♡ | 2009.09.14 |
XE svn external link로 update하기 [7] | 하늘03 | 2009.08.09 |
좌측 메뉴 하단에 애드센스를 탑재해 보자! [5] | migojarad.myid.net | 2007.08.13 |
FTP로 지워지지 않는 파일 삭제방법. [9] | pakjce | 2008.07.05 |
apmsetup5를 이용한 zbxe 설치 및 복구 [2] | 무도사 | 2007.11.02 |
알 수 없는 아이프레임이 심어졌을 때 (치명적인 바이러스) [6] | jjabez | 2009.08.08 |
제로보드 XE에서 강추하는 플래시 넣기 [12] | 미오유 | 2007.09.19 |
이것두 팁은 되려나...; xe 7대 구성 설치법임..ㅋ; | 불패의초인 | 2009.09.11 |
저도 비슷하게 index와 home이 들어간 모든 부분에 iframe이 접속되어 일단 고것만 대체할수있는 원본파일 만들어서
원인 발생시 한방에 처리하도록 일단 만들기는 했습니다--;;
아-_-뭘까요 이건-_-노리고 만든 코드인가 ㅋ;
그래도 xe는 이상한거 코드 들어가면
오류떠버려서 다행이긴 한듯합니다--;모르고 지나갈수도 있을듯하여;;