해킹은 계속오는데 whisl은 돌려도 모른체한다? 정보
해킹은 계속오는데 whisl은 돌려도 모른체한다?
본문
몇일전부터 나름 찾아내서 지워도 웹쉘이 깔리고
서버업체와 연계해서 이런저런 툴도 돌리고 해봐도 여전히 또 파일변조...;;
오늘 whisle 이란거 저도 신청해서 깔고 세팅한후에 돌려봤습니다.
뭐..이거 문제있는 파일 전혀없다는식으로 검색결과를 보여주네요;;;
써보신분.. 이거 뭐 대충 -c로 옵션들 맞춰주고 돌린건데 특별히 신경써야할꺼 있나요?
뭐 이런...
서버업체와 연계해서 이런저런 툴도 돌리고 해봐도 여전히 또 파일변조...;;
오늘 whisle 이란거 저도 신청해서 깔고 세팅한후에 돌려봤습니다.
뭐..이거 문제있는 파일 전혀없다는식으로 검색결과를 보여주네요;;;
써보신분.. 이거 뭐 대충 -c로 옵션들 맞춰주고 돌린건데 특별히 신경써야할꺼 있나요?
뭐 이런...
댓글 전체
일단은 어디로 들어오는지 확인을 해보셔야 할 것 같네요.
보통 변조된 파일의 변경일자를 체크해서, 그 일자의 모든 파일을 걸러내야 합니다.
보통 변조된 파일의 변경일자를 체크해서, 그 일자의 모든 파일을 걸러내야 합니다.
이미 다른방법으로 뚫어져서 컨트롤 하는거라면 휘슬도 못잡죠
가장 좋은 방법은 서버를 내려두고 검증하는겁니다.
가장 좋은 방법은 서버를 내려두고 검증하는겁니다.
최근들어 iframe을 이용, 악성코드 삽입에 의한 홈페이지 변조사고가 빈번히 발생하고 있습니다.
이는 감염된 바이러스에 의해 클라이언트 PC 에 저장되어 있던 FTP 정보가 외부로 유출되어
발생하는 것으로, 이에 따른 피해가 발생하고 있으니 대비하시기 바랍니다.
검블러(Gumblar) 또는 GENO 라고 불리는 악성코드는 어도브(Adobe)사의 Acrobat 이나 Flash
Player의 보안패치가 되지 않은 PC가 특정 Web Site 를 방문하여 감염되는 'Drive by Download'
방식으로 전파되고있어 그 감염속도가 매우 빠릅니다.
또한 감염된 PC 이용자가 Web Site 의 파일을 관리하는 FTP 클라이언트 프로그램을 가지고 있을
경우 ID 와 Password 를 빼내어 해당 Web Site 의 index, main 등의 이름을 가진 html, php
파일들을 변조해서 악성코드를 다운받도록 코드를 심어놓게 됩니다.
▲ 증상
1) index, main 등 html, php 로 짜여진 페이지에 iframe 코드 삽입 됩니다.
위와 같이 여러 파일에 걸쳐 iframe 코드가 삽입되어 있는 사항을 검색한 내용
(패턴 : iframe src = "http://xxxxxxxx.ru:8080/index.php" width="xxx" height="xxx"
~~ /iframe )
ru 는 러시아이며, 주소지가 cn (중국)으로 되어 있는 경우도 있습니다.
2) 감염된 페이지 접근시 상당부분 여백 표시됩니다.
3) /var/log/xferlog 에 다음과 같은 패턴의 log 정보가 그려집니다.
-----------------------------------------------------------------------------------------
Thu Sep 17 10:45:20 2009 3 89.191.xxx.56 61116 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 10:45:30 2009 3 213.114.xxx.27 61146 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:20 2009 1 95.26.xxx.85 1175 /home/xxxxxxxx/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:27 2009 2 83.165.xxx.24 1210 /home/xxxxxxxx/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:36 2009 1 200.8.xxx.59 164 /home/xxxxxxxx/bbs/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:45 2009 1 87.250.xxx.4 199 /home/xxxxxxxx/bbs/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:54 2009 2 85.226.xxx.15 61146 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:29:00 2009 2 63.232.xxx.166 61177 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
-----------------------------------------------------------------------------------------
4) 실제 위 로그를 근거로 해당 계정을 점검해보면 iframe 악성코드를 삽입시켜 놓아 파일을
변조시킵니다.
'o' 는 다운로드, 'i 는 업로드시, 접근지 아이피는 변조된 아이피로 접근시마다 달라집니다.
▲ 대응책
1) 백신 프로그램을 이용 PC 에 감염된 파일이 없는지 검사합니다.
2) GENO 바이러스에 감염이 된 경우 (Gumblar, Daenol, Gadjo, Kates 등)
Adobe 사이트에 방문하여 Flash Player 를 10.0.22.87 버전 이상으로 업데이트 합니다.
☞http://get.adobe.com/kr/flashplayer/?promoid=DRHWS
Acrobat Reader 를 9.1.1 버전 이상으로 업데이트 합니다.
☞http://get.adobe.com/kr/reader
3) 백신 프로그램을 통해 실시간으로 감염 여부를 체크합니다.
4) 계정 ID, Password 관리에 각별히 주의를 기울입니다.
▲ 제노(Geno) 바이러스
http://www.dt.co.kr/contents.html?article_no=2009062402012269739001
▲ 관련보도/리포트 링크
http://www.boannews.com/media/view.asp?idx=16569&kind=1
http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=55938
http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=090522164152&cDateYear=2009&cDateMonth=05&cDateDay=22
http://garwarner.blogspot.com/2009/06/gumblars-48000-compromised-domains.html
출처 : 미르몰
이는 감염된 바이러스에 의해 클라이언트 PC 에 저장되어 있던 FTP 정보가 외부로 유출되어
발생하는 것으로, 이에 따른 피해가 발생하고 있으니 대비하시기 바랍니다.
검블러(Gumblar) 또는 GENO 라고 불리는 악성코드는 어도브(Adobe)사의 Acrobat 이나 Flash
Player의 보안패치가 되지 않은 PC가 특정 Web Site 를 방문하여 감염되는 'Drive by Download'
방식으로 전파되고있어 그 감염속도가 매우 빠릅니다.
또한 감염된 PC 이용자가 Web Site 의 파일을 관리하는 FTP 클라이언트 프로그램을 가지고 있을
경우 ID 와 Password 를 빼내어 해당 Web Site 의 index, main 등의 이름을 가진 html, php
파일들을 변조해서 악성코드를 다운받도록 코드를 심어놓게 됩니다.
▲ 증상
1) index, main 등 html, php 로 짜여진 페이지에 iframe 코드 삽입 됩니다.
위와 같이 여러 파일에 걸쳐 iframe 코드가 삽입되어 있는 사항을 검색한 내용
(패턴 : iframe src = "http://xxxxxxxx.ru:8080/index.php" width="xxx" height="xxx"
~~ /iframe )
ru 는 러시아이며, 주소지가 cn (중국)으로 되어 있는 경우도 있습니다.
2) 감염된 페이지 접근시 상당부분 여백 표시됩니다.
3) /var/log/xferlog 에 다음과 같은 패턴의 log 정보가 그려집니다.
-----------------------------------------------------------------------------------------
Thu Sep 17 10:45:20 2009 3 89.191.xxx.56 61116 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 10:45:30 2009 3 213.114.xxx.27 61146 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:20 2009 1 95.26.xxx.85 1175 /home/xxxxxxxx/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:27 2009 2 83.165.xxx.24 1210 /home/xxxxxxxx/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:36 2009 1 200.8.xxx.59 164 /home/xxxxxxxx/bbs/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:45 2009 1 87.250.xxx.4 199 /home/xxxxxxxx/bbs/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:54 2009 2 85.226.xxx.15 61146 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:29:00 2009 2 63.232.xxx.166 61177 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
-----------------------------------------------------------------------------------------
4) 실제 위 로그를 근거로 해당 계정을 점검해보면 iframe 악성코드를 삽입시켜 놓아 파일을
변조시킵니다.
'o' 는 다운로드, 'i 는 업로드시, 접근지 아이피는 변조된 아이피로 접근시마다 달라집니다.
▲ 대응책
1) 백신 프로그램을 이용 PC 에 감염된 파일이 없는지 검사합니다.
2) GENO 바이러스에 감염이 된 경우 (Gumblar, Daenol, Gadjo, Kates 등)
Adobe 사이트에 방문하여 Flash Player 를 10.0.22.87 버전 이상으로 업데이트 합니다.
☞http://get.adobe.com/kr/flashplayer/?promoid=DRHWS
Acrobat Reader 를 9.1.1 버전 이상으로 업데이트 합니다.
☞http://get.adobe.com/kr/reader
3) 백신 프로그램을 통해 실시간으로 감염 여부를 체크합니다.
4) 계정 ID, Password 관리에 각별히 주의를 기울입니다.
▲ 제노(Geno) 바이러스
http://www.dt.co.kr/contents.html?article_no=2009062402012269739001
▲ 관련보도/리포트 링크
http://www.boannews.com/media/view.asp?idx=16569&kind=1
http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=55938
http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=090522164152&cDateYear=2009&cDateMonth=05&cDateDay=22
http://garwarner.blogspot.com/2009/06/gumblars-48000-compromised-domains.html
출처 : 미르몰
