꼭읽어주시기 바랍니다.(인덱스파일쪽 파일변형 악성바이러스가 심어집니다.) 정보
꼭읽어주시기 바랍니다.(인덱스파일쪽 파일변형 악성바이러스가 심어집니다.)
본문
아래는 PHPSCHOOL에 올라온 질문입니다.
제가 증상을 찾다가 같은 증상이여서 복사해서 올려드립니다.
저같은 경우에도 아래글과 마찬가지로 카페24에서 호스팅을 받고 있으며..
최신그누 전폴더 인덱스파일에 하단쪽에 악성코드가 심어집니다..
참고부탁드리며..아시는분은 댓글 부탁드립니다.
-------------------------------------------------------------------------------------------------------
윈도우 계열 웹서버에 ftp(일부는 iis, 일부는 filezilla server) 도 같이 돌리고 있는데
언젠가부터 호스팅하는 모든 사이트 메인페이지(index.htm, main.htm) 에
iframe src='http://url' 로 시작하는 Trojan.IFrame 부류의 악성코드가 삽입이 되었습니다
안티바이러스로 돌리면, 변조된 파일은 감지하지만 실제 파일을 변조하는 프로세스는 검출을 못하고, rootkit 탐지프로그램을 돌려봐도 악의적인 프로세스는 감지되지 않았습니다
그래서 ftp 로그를 살펴보는데, 77.221.133.186 번 아이피로
멀쩡히 존재하는 ftp user 로 로그인하고, pass 도 230 으로,
즉 매우 정상적으로 ftp 에 로그온해서 인덱스파일 받아다가
악성코드 삽입하고 다시 업로드한것으로 나와있었습니다
위 아이피로 구글링해보니, 러시아쪽 아이피인데 피해사례가 제법 나왔습니다
처음 접속기록이 남아 있는 것은 올해 3월초쯤부터이고,
ftp 돌리고 있는 거의 모든 서버에 정상로그온하고, 파일변조를 시도 및 성공했더군요
일단 방화벽에서 해당 아이피를 차단했습니다만,
제가 궁금한 것은 도대체 어떤 경로로 ftp 계정의 id 와 password 를 알아냈을까 하는겁니다
무작위 대입에 로그온실패가 여러번 있었다면, 해당 계정은 자동으로 블록되었을텐데
너무 깨끗하게 들어온 상태라....
혹시 개발자나, 디자이너 pc 가 한번 털리고 나서, ftp 접속정보를 채간것일까요
제가 증상을 찾다가 같은 증상이여서 복사해서 올려드립니다.
저같은 경우에도 아래글과 마찬가지로 카페24에서 호스팅을 받고 있으며..
최신그누 전폴더 인덱스파일에 하단쪽에 악성코드가 심어집니다..
참고부탁드리며..아시는분은 댓글 부탁드립니다.
-------------------------------------------------------------------------------------------------------
윈도우 계열 웹서버에 ftp(일부는 iis, 일부는 filezilla server) 도 같이 돌리고 있는데
언젠가부터 호스팅하는 모든 사이트 메인페이지(index.htm, main.htm) 에
iframe src='http://url' 로 시작하는 Trojan.IFrame 부류의 악성코드가 삽입이 되었습니다
안티바이러스로 돌리면, 변조된 파일은 감지하지만 실제 파일을 변조하는 프로세스는 검출을 못하고, rootkit 탐지프로그램을 돌려봐도 악의적인 프로세스는 감지되지 않았습니다
그래서 ftp 로그를 살펴보는데, 77.221.133.186 번 아이피로
멀쩡히 존재하는 ftp user 로 로그인하고, pass 도 230 으로,
즉 매우 정상적으로 ftp 에 로그온해서 인덱스파일 받아다가
악성코드 삽입하고 다시 업로드한것으로 나와있었습니다
위 아이피로 구글링해보니, 러시아쪽 아이피인데 피해사례가 제법 나왔습니다
처음 접속기록이 남아 있는 것은 올해 3월초쯤부터이고,
ftp 돌리고 있는 거의 모든 서버에 정상로그온하고, 파일변조를 시도 및 성공했더군요
일단 방화벽에서 해당 아이피를 차단했습니다만,
제가 궁금한 것은 도대체 어떤 경로로 ftp 계정의 id 와 password 를 알아냈을까 하는겁니다
무작위 대입에 로그온실패가 여러번 있었다면, 해당 계정은 자동으로 블록되었을텐데
너무 깨끗하게 들어온 상태라....
혹시 개발자나, 디자이너 pc 가 한번 털리고 나서, ftp 접속정보를 채간것일까요
댓글 전체
저도 오래전에 처음으로 서버를 설치하고 경험해봤던거네요...^^
그때는 잘 몰라서 phpmyadmin 을 설치하면서 그냥 그대로 사용했었는데,
파일 상단에 저런 코드가 저절로 심어지더라구요...
확인하고 서버를 밀어버리고 다시 설치하면서
phpmyadmin 에 비번 설정을 한 뒤로는 그런일이 없더군요...^^
그때는 잘 몰라서 phpmyadmin 을 설치하면서 그냥 그대로 사용했었는데,
파일 상단에 저런 코드가 저절로 심어지더라구요...
확인하고 서버를 밀어버리고 다시 설치하면서
phpmyadmin 에 비번 설정을 한 뒤로는 그런일이 없더군요...^^