it-pay.net로 자동링크 거는 스크립트 공격이 있습니다. 정보
it-pay.net로 자동링크 거는 스크립트 공격이 있습니다.
본문
의뢰자께서 본 글 작성을 허락하여 글을 올립니다.
혹시 유경험자가 계시면 조언 부탁드립니다.
25일 호스팅 계정 곳곳에서 it-pay.net이라는 곳으로 자동 연결 시키는 스크립트가 삽입되었습니다.
유입 경로나 취약점 형태는 아직 밝혀지지 않았고 솔루션 유형을 가리지 않았습니다.의뢰를 받고 방금 점검을 해봤는데 생성된 파일은 있는데 침입 흔적은 보이질 않아요.
솔루션의 로그인 기록도, 업로드 기록도, FTP 접속 흔적도 없습니다.
FTP는 인증형이라 외부 침입이 불가능하고, 공격 당한 계정중 과반은 비회원제라 회원 업로드가 불가능하며, 관리자로 업로드를 하여도 남아야 할 업로드 기록을 찾을 수 없었습니다.
그냥 25일 12:00시에 서버내 다수의 계정에 동시다발적으로 1초의 오차도 없이 해당 스크립트와 파일이 생성됐습니다.
임시조치로 해당 파일과 스크립트를 모두 찾아 제거하였습니다.
증상은 그냥 어떤 링크든,메뉴든 클릭시 무조건 새창으로 it-pay.net 방문하는 것입니다.
일단 발견된 증상은 이것 뿐이지만 이 코드를 삽입하려면 head 영역에 코딩외어야 하기에 사실상 루트 권한이 탈취되거나 이미 공격용 파일이 서버내 존재해 일시에 동작한 것으로 추측됩니다.
또는 그것 외에 다른 동작이 있으나 인지하지 못했을 수 있습니다.
특징으로는 key.txt, mb.html, news.php 파일이 계정 내 업로드 되어 있다는 것이고, index파일이나 공통파일 <head> 영역에 click 이벤트 스크립트가 코딩되어 있다는 것입니다.
확인은 서버 웹계정의 상위폴더에서 아래와 같이 검색을 합니다.
| grep -Hlr it-pay.net ./ |
제가 관리하는 서버에는 증상이 발견되지 않았습니다만, 혹시 다른분들 중 공격 받은 분들이 계실까 글을 씁니다.
혹은 유경험자 계시면 박멸법에 대한 조언을 부탁드립니다.
꾸벅
1
댓글 3개
일단 방통위에 유해사이트로 신고해보세요. 차단은 3~4주 정도 걸리는것 같네요.
도메인도 여러가지 사용하네요
의뢰자 PC에 악성코드가 있지는 않을까요?
의뢰자가 FTP 접속하면서 옮겨간게 아닐까요?