최근 우리 고객중에도 iframe 이용한 공격을 받아 사이트 파일이 변조되는 사례가 자주 있어
아래와 같이 대응책을 작성해봤습니다. 참고하세요~
---------------------------------------------------------------------------------------------------------------------------------
최근 들어 iframe 을 이용, 악성코코 삽입에 의한 홈페이지 변조 사고가 빈번히 발생하고 있습니다.
이는 감염된 바이러스에 의해 클라이언트 PC 에 저장되어 있던 FTP 정보가
외부로 유출되어 발생하는 것으로, 이에 따른 피해가 발생하고 있으니 대비하시기 바랍니다.
검블러(Gumblar) 또는 GENO 라고 불리는 악성코드는 어도브(Adobe)사의 Acrobat 이나 Flash Player 의
보안패치가 되지 않은 PC 가 특정 Web Site 를 방문하여 감염되는 'Drive by Download' 방식으로 전파되고
있어 그 감염속도가 매우 빠릅니다.
또한 감염된 PC 이용자가 Web Site 의 파일을 관리하는 FTP 클라이언트 프로그램을 가지고 있을 경우
ID 와 Password 를 빼내어 해당 Web Site 의 index, main 등의 이름을 가진 html, php 파일들을
변조해서 악성코드를 다운받도록 코드를 심어놓게 됩니다.
▲ 증상
1) index, main 등 html, php 로 짜여진 페이지에 iframe 코드 삽입 됩니다.
------------------------------------------------------------------------------------------------------------
http://sms.smileserv.com/~tech/img/20091008_001.png
------------------------------------------------------------------------------------------------------------
위와 같이 여러 파일에 걸쳐 iframe 코드가 삽입되어 있는 사항을 검색한 내용
(패턴 : iframe src = "http://xxxxxxxx.ru:8080/index.php" width="xxx" height="xxx" ~~ /iframe )
ru 는 러시아이며, 주소지가 cn (중국)으로 되어 있는 경우도 있습니다.
2) 감염된 페이지 접근시 상당부분 여백 표시됩니다.
3) /var/log/xferlog 에 다음과 같은 패턴의 log 정보가 그려집니다.
------------------------------------------------------------------------------------------------------------
Thu Sep 17 10:45:20 2009 3 89.191.xxx.56 61116 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 10:45:30 2009 3 213.114.xxx.27 61146 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:20 2009 1 95.26.xxx.85 1175 /home/xxxxxxxx/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:27 2009 2 83.165.xxx.24 1210 /home/xxxxxxxx/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:36 2009 1 200.8.xxx.59 164 /home/xxxxxxxx/bbs/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:45 2009 1 87.250.xxx.4 199 /home/xxxxxxxx/bbs/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:54 2009 2 85.226.xxx.15 61146 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:29:00 2009 2 63.232.xxx.166 61177 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
------------------------------------------------------------------------------------------------------------
4) 실제 위 로그를 근거로 해당 계정을 점검해보면 iframe 악성코드를 삽입시켜 놓아 파일을 변조시킵니다.
'o' 는 다운로드, 'i 는 업로드시, 접근지 아이피는 변조된 아이피로 접근시마다 달라집니다.
▲ 대응책
1) 백신 프로그램을 이용 PC 에 감염된 파일이 없는지 검사합니다.
2) xferlog 등 FTP log 를 근거로 감염된 파일명 모두 체크하여 악성코드를 제거합니다.
악성코드가 제거되지 않은 상태에서 단순히 비밀번호를 바꾸어 FTP 접속을 하게 되면
지속적으로 ID, Password가 유출되어서 사이트 변조가 지속됩니다.
3) GENO 바이러스에 감염이 된 경우 (Gumblar, Daenol, Gadjo, Kates 등)
Adobe 사이트에 방문하여 Flash Player 를 10.0.22.87 버전 이상으로 업데이트 합니다.
☞ http://get.adobe.com/kr/flashplayer/?promoid=DRHWS"> 링크
Acrobat Reader 를 9.1.1 버전 이상으로 업데이트 합니다.
☞ http://get.adobe.com/kr/reader/"> 링크
4) 백신 프로그램을 통해 실시간으로 감염 여부를 체크합니다.
5) 특히, 여러 계정으로 접근하는 웹 에이전시 업체에서는 계정 ID, Password 관리에
각별하게 주의를 기울입니다.
▲ 제노(Geno) 바이러스
http://www.dt.co.kr/contents.html?article_no=2009062402012269739001
▲ 관련보도/리포트 링크
http://www.boannews.com/media/view.asp?idx=16569&kind=1
http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=55938
http://garwarner.blogspot.com/2009/06/gumblars-48000-compromised-domains.html
====================================================================
서버를 안전하게 보호하는 일은 지속적인 관심과 관리입니다.
====================================================================
