Skip to content

?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

최근 우리 고객중에도 iframe 이용한 공격을 받아 사이트 파일이 변조되는 사례가 자주 있어
아래와 같이 대응책을 작성해봤습니다.  참고하세요~
---------------------------------------------------------------------------------------------------------------------------------


최근 들어 iframe 을 이용, 악성코코 삽입에 의한 홈페이지 변조 사고가 빈번히 발생하고 있습니다.

이는 감염된 바이러스에 의해 클라이언트 PC 에 저장되어 있던 FTP 정보가
외부로 유출되어 발생하는 것으로, 이에 따른 피해가 발생하고 있으니 대비하시기 바랍니다.

검블러(Gumblar) 또는 GENO 라고 불리는 악성코드는 어도브(Adobe)사의 Acrobat 이나 Flash Player 의
보안패치가 되지 않은 PC 가 특정 Web Site 를 방문하여 감염되는 'Drive by Download' 방식으로 전파되고
있어 그 감염속도가 매우 빠릅니다.

또한 감염된 PC 이용자가 Web Site 의 파일을 관리하는 FTP 클라이언트 프로그램을 가지고 있을 경우
ID 와 Password 를 빼내어 해당 Web Site 의 index, main 등의 이름을 가진 html, php 파일들을
변조해서 악성코드를 다운받도록 코드를 심어놓게 됩니다.

▲ 증상


1) index, main 등 html, php 로 짜여진 페이지에 iframe 코드 삽입 됩니다.
------------------------------------------------------------------------------------------------------------
http://sms.smileserv.com/~tech/img/20091008_001.png
------------------------------------------------------------------------------------------------------------
위와 같이 여러 파일에 걸쳐 iframe 코드가 삽입되어 있는 사항을 검색한 내용 
(패턴 : iframe src = "http://xxxxxxxx.ru:8080/index.php" width="xxx" height="xxx" ~~ /iframe )
 ru 는 러시아이며, 주소지가 cn (중국)으로 되어 있는 경우도 있습니다.


2) 감염된 페이지 접근시 상당부분 여백 표시됩니다.


3) /var/log/xferlog 에 다음과 같은 패턴의 log 정보가 그려집니다.
------------------------------------------------------------------------------------------------------------
Thu Sep 17 10:45:20 2009 3 89.191.xxx.56 61116 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 10:45:30 2009 3 213.114.xxx.27 61146 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:20 2009 1 95.26.xxx.85 1175 /home/xxxxxxxx/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:27 2009 2 83.165.xxx.24 1210 /home/xxxxxxxx/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:36 2009 1 200.8.xxx.59 164 /home/xxxxxxxx/bbs/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:45 2009 1 87.250.xxx.4 199 /home/xxxxxxxx/bbs/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:54 2009 2 85.226.xxx.15 61146 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:29:00 2009 2 63.232.xxx.166 61177 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
------------------------------------------------------------------------------------------------------------

4) 실제 위 로그를 근거로 해당 계정을 점검해보면 iframe 악성코드를 삽입시켜 놓아 파일을 변조시킵니다.
   'o' 는 다운로드, 'i 는 업로드시, 접근지 아이피는 변조된 아이피로 접근시마다 달라집니다.

 


▲ 대응책


1) 백신 프로그램을 이용 PC 에 감염된 파일이 없는지 검사합니다.

2) xferlog 등 FTP log 를 근거로 감염된 파일명 모두 체크하여 악성코드를 제거합니다.
   악성코드가 제거되지 않은 상태에서 단순히 비밀번호를 바꾸어 FTP 접속을 하게 되면
   지속적으로 ID, Password가 유출되어서 사이트 변조가 지속됩니다.

3) GENO 바이러스에 감염이 된 경우 (Gumblar, Daenol, Gadjo, Kates 등)

   Adobe 사이트에 방문하여 Flash Player 를 10.0.22.87 버전 이상으로 업데이트 합니다.
   ☞ http://get.adobe.com/kr/flashplayer/?promoid=DRHWS"> 링크

   Acrobat Reader 를 9.1.1 버전 이상으로 업데이트 합니다.  
   ☞ http://get.adobe.com/kr/reader/"> 링크

4) 백신 프로그램을 통해 실시간으로 감염 여부를 체크합니다.

5) 특히, 여러 계정으로 접근하는 웹 에이전시 업체에서는 계정 ID, Password 관리에
   각별하게 주의를 기울입니다.

 


▲ 제노(Geno) 바이러스

http://www.dt.co.kr/contents.html?article_no=2009062402012269739001

 

▲ 관련보도/리포트 링크

http://www.boannews.com/media/view.asp?idx=16569&kind=1

http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=55938

http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=090522164152&cDateYear=2009&cDateMonth=05&cDateDay=22

http://garwarner.blogspot.com/2009/06/gumblars-48000-compromised-domains.html

 

====================================================================
   서버를 안전하게 보호하는 일은 지속적인 관심과 관리입니다.
====================================================================


  1. 리눅스 보안 - 권한설정에 주의해야할 명령어들은 ?

    Date2010.03.31 Byl2zeo Views27817
    Read More
  2. 안티 루트킷 사용 예

    Date2010.03.28 Byl2zeo Views11629
    Read More
  3. 리눅스 - iptables NAT rule

    Date2010.03.24 ByADMINPLAY Views9725
    Read More
  4. Cisco/Tip/라우터,스위치에서 패킷 캡쳐하기

    Date2010.03.23 Byl2zeo Views16185
    Read More
  5. 해킹이 의심될 때 사용되는 명령어들

    Date2010.03.08 Byl2zeo Views9901
    Read More
  6. iptables 리눅스? NETFILTER관련

    Date2010.03.08 Byl2zeo Views10187
    Read More
  7. LINUX 해킹당했을 때 대처요령

    Date2010.03.08 Byl2zeo Views8781
    Read More
  8. 파일 퍼미션 설정을 통한 로컬 공격 방지

    Date2010.03.08 Byl2zeo Views8229
    Read More
  9. SSH 공격막아내기 방법

    Date2010.03.08 Byl2zeo Views8449
    Read More
  10. Tcpdump 용어 정리

    Date2010.01.30 ByADMINPLAY Views8549
    Read More
  11. 홈페이지 보안 강화 도구(CASTLE) 보급 안내

    Date2010.01.22 ByADMINPLAY Views8971
    Read More
  12. Kernel 2.4.23 버전 이하에 나온 ptrace 버그에 관한 사항

    Date2009.12.13 ByADMINPLAY Views8842
    Read More
  13. lsof 활용 가이드

    Date2009.11.30 ByADMINPLAY Views8357
    Read More
  14. 실전 테스트!! 스니퍼 공격

    Date2009.11.30 ByADMINPLAY Views9824
    Read More
  15. 해외에서 접근하는 IP 차단하기

    Date2009.11.30 ByADMINPLAY Views9311
    Read More
  16. iptables 옵션 및 상태 추적 테이블 및 rule

    Date2009.11.30 ByADMINPLAY Views8917
    Read More
  17. ossec 로그 분석 툴 설치

    Date2009.10.20 ByADMINPLAY Views11576
    Read More
  18. SSH(Security SHell) 보안쉘

    Date2009.10.20 ByADMINPLAY Views8444
    Read More
  19. 홈페이지 변조 대처법 (FTP 계정을 이용한 아이프레임 코...

    Date2009.10.15 ByADMINPLAY Views9091
    Read More
  20. iframe 이용한 악성코드 삽입, 홈페이지 변조 사고 대비 ...

    Date2009.10.15 ByADMINPLAY Views10869
    Read More
Board Pagination Prev 1 2 3 4 5 Next
/ 5

Copyright ADMINPLAY corp. All rights reserved.

abcXYZ, 세종대왕,1234

abcXYZ, 세종대왕,1234