반응형
증상
1) index, main 등 html, php 로 짜여진 페이지에 iframe 코드 삽입 됩니다.
------------------------------------------------------------------------------------------------------------
http://sms.smileserv.com/~tech/img/20091008_001.png
------------------------------------------------------------------------------------------------------------
위와 같이 여러 파일에 걸쳐 iframe 코드가 삽입되어 있는 사항을 검색한 내용
(패턴 : iframe src = "http://xxxxxxxx.ru:8080/index.php" width="xxx" height="xxx" ~~ /iframe )
ru 는 러시아이며, 주소지가 cn (중국)으로 되어 있는 경우도 있습니다.
2) 감염된 페이지 접근시 상당부분 여백 표시됩니다.
3) /var/log/xferlog 에 다음과 같은 패턴의 log 정보가 그려집니다.
------------------------------------------------------------------------------------------------------------
Thu Sep 17 10:45:20 2009 3 89.191.xxx.56 61116 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 10:45:30 2009 3 213.114.xxx.27 61146 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:20 2009 1 95.26.xxx.85 1175 /home/xxxxxxxx/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:27 2009 2 83.165.xxx.24 1210 /home/xxxxxxxx/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:36 2009 1 200.8.xxx.59 164 /home/xxxxxxxx/bbs/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:45 2009 1 87.250.xxx.4 199 /home/xxxxxxxx/bbs/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:54 2009 2 85.226.xxx.15 61146 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:29:00 2009 2 63.232.xxx.166 61177 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
------------------------------------------------------------------------------------------------------------
4) 실제 위 로그를 근거로 해당 계정을 점검해보면 iframe 악성코드를 삽입시켜 놓아 파일을 변조시킵니다.
'o' 는 다운로드, 'i 는 업로드시, 접근지 아이피는 변조된 아이피로 접근시마다 달라집니다.
대응책
1) 백신 프로그램을 이용 PC 에 감염된 파일이 없는지 검사합니다.
2) xferlog 등 FTP log 를 근거로 감염된 파일명 모두 체크하여 악성코드를 제거합니다.
악성코드가 제거되지 않은 상태에서 단순히 비밀번호를 바꾸어 FTP 접속을 하게 되면
지속적으로 ID, Password가 유출되어서 사이트 변조가 지속됩니다.
3) GENO 바이러스에 감염이 된 경우 (Gumblar, Daenol, Gadjo, Kates 등)
Adobe 사이트에 방문하여 Flash Player 를 10.0.22.87 버전 이상으로 업데이트 합니다.
☞ <a href="http://get.adobe.com/kr/flashplayer/?promoid=DRHWS"> 링크 </a>
Acrobat Reader 를 9.1.1 버전 이상으로 업데이트 합니다.
☞ <a href="http://get.adobe.com/kr/reader/"> 링크 </a>
4) 백신 프로그램을 통해 실시간으로 감염 여부를 체크합니다.
5) 특히, 여러 계정으로 접근하는 웹 에이전시 업체에서는 계정 ID, Password 관리에
각별하게 주의를 기울입니다.
제노(Geno) 바이러스
제노(Geno) 바이러스는 일본의 컴퓨터 판매 사이트인 제노라는 업체 홈페이지가 지난 4월 해킹을 당해 이 악성코드가 전파되면서 알려졌습니다. 미국 등에서는 검블러(Gumblar)라는 이름으로 불리기도 합니다.
만일 PC 사용자가 이 악성코드에 감염된 숙주 사이트에 접근할 경우, PC에 어도비(ADOBE) 아크로뱃(ACROBAT)이나 플래시(FLASH) 취약점을 통해 PC가 제노 바이러스에 감염됩니다. 이 악성코드에 감염된 PC는 사용자가 FTP 로그인을 하면 계정정보가 유출될 수 있으며 특정 웹사이트로 강제 이동시키는 증상도 나타납니다. 또 일부 백신 소프트웨어 실행이 중지되고 해당 백신 소프트웨어 사이트의 접속이 차단돼 더 큰 피해를 가져올 수 있습니다.
이 바이러스의 피해를 막기 위해서는 응용 프로그램들의 취약점 패치를 최신으로 유지하고 보안 소프트웨어를 실시간으로 사용해야 합니다
1) index, main 등 html, php 로 짜여진 페이지에 iframe 코드 삽입 됩니다.
------------------------------------------------------------------------------------------------------------
http://sms.smileserv.com/~tech/img/20091008_001.png
------------------------------------------------------------------------------------------------------------
위와 같이 여러 파일에 걸쳐 iframe 코드가 삽입되어 있는 사항을 검색한 내용
(패턴 : iframe src = "http://xxxxxxxx.ru:8080/index.php" width="xxx" height="xxx" ~~ /iframe )
ru 는 러시아이며, 주소지가 cn (중국)으로 되어 있는 경우도 있습니다.
2) 감염된 페이지 접근시 상당부분 여백 표시됩니다.
3) /var/log/xferlog 에 다음과 같은 패턴의 log 정보가 그려집니다.
------------------------------------------------------------------------------------------------------------
Thu Sep 17 10:45:20 2009 3 89.191.xxx.56 61116 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 10:45:30 2009 3 213.114.xxx.27 61146 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:20 2009 1 95.26.xxx.85 1175 /home/xxxxxxxx/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:27 2009 2 83.165.xxx.24 1210 /home/xxxxxxxx/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:36 2009 1 200.8.xxx.59 164 /home/xxxxxxxx/bbs/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:45 2009 1 87.250.xxx.4 199 /home/xxxxxxxx/bbs/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:54 2009 2 85.226.xxx.15 61146 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:29:00 2009 2 63.232.xxx.166 61177 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
------------------------------------------------------------------------------------------------------------
4) 실제 위 로그를 근거로 해당 계정을 점검해보면 iframe 악성코드를 삽입시켜 놓아 파일을 변조시킵니다.
'o' 는 다운로드, 'i 는 업로드시, 접근지 아이피는 변조된 아이피로 접근시마다 달라집니다.
대응책
1) 백신 프로그램을 이용 PC 에 감염된 파일이 없는지 검사합니다.
2) xferlog 등 FTP log 를 근거로 감염된 파일명 모두 체크하여 악성코드를 제거합니다.
악성코드가 제거되지 않은 상태에서 단순히 비밀번호를 바꾸어 FTP 접속을 하게 되면
지속적으로 ID, Password가 유출되어서 사이트 변조가 지속됩니다.
3) GENO 바이러스에 감염이 된 경우 (Gumblar, Daenol, Gadjo, Kates 등)
Adobe 사이트에 방문하여 Flash Player 를 10.0.22.87 버전 이상으로 업데이트 합니다.
☞ <a href="http://get.adobe.com/kr/flashplayer/?promoid=DRHWS"> 링크 </a>
Acrobat Reader 를 9.1.1 버전 이상으로 업데이트 합니다.
☞ <a href="http://get.adobe.com/kr/reader/"> 링크 </a>
4) 백신 프로그램을 통해 실시간으로 감염 여부를 체크합니다.
5) 특히, 여러 계정으로 접근하는 웹 에이전시 업체에서는 계정 ID, Password 관리에
각별하게 주의를 기울입니다.
제노(Geno) 바이러스
제노(Geno) 바이러스는 일본의 컴퓨터 판매 사이트인 제노라는 업체 홈페이지가 지난 4월 해킹을 당해 이 악성코드가 전파되면서 알려졌습니다. 미국 등에서는 검블러(Gumblar)라는 이름으로 불리기도 합니다.
만일 PC 사용자가 이 악성코드에 감염된 숙주 사이트에 접근할 경우, PC에 어도비(ADOBE) 아크로뱃(ACROBAT)이나 플래시(FLASH) 취약점을 통해 PC가 제노 바이러스에 감염됩니다. 이 악성코드에 감염된 PC는 사용자가 FTP 로그인을 하면 계정정보가 유출될 수 있으며 특정 웹사이트로 강제 이동시키는 증상도 나타납니다. 또 일부 백신 소프트웨어 실행이 중지되고 해당 백신 소프트웨어 사이트의 접속이 차단돼 더 큰 피해를 가져올 수 있습니다.
이 바이러스의 피해를 막기 위해서는 응용 프로그램들의 취약점 패치를 최신으로 유지하고 보안 소프트웨어를 실시간으로 사용해야 합니다
반응형
'IT 일반' 카테고리의 다른 글
| cmd 이용 파일명 쉽게 바꾸기. (0) | 2011.02.14 |
|---|---|
| network logout (0) | 2010.04.22 |
| 에디터플러스 정규식 (0) | 2010.03.18 |
| 스크립을 이용한 변조방법 (0) | 2009.11.10 |
| 웹 표준 테스트를 위한 브라우저 종류 (1) | 2009.06.12 |
| 바이너리 와 아스키의 차이점 (0) | 2009.04.06 |
| 이클립스 php 플러그인 (0) | 2009.01.28 |
| 방어적 프로그래밍 :: Defensive Programing (0) | 2009.01.05 |