XE에서 다른 분글에 답글을 달다가 생각난김에 좀더 정리해서 올려둡니다.
http://www.xpressengine.com/index.php?mid=freeboard&document_srl=19663835
----------------------------------------------
요즘 사이트들이 많이 해킹을 당하는 것같습니다.
해킹방식은 malware라고 부르는 트로이목마 비슷한 바이러스로 FTP 클라이언트에 저장되어있는 FPT계정의 비밀번호를 추출하는 방식으로 보입니다.
추출한 비밀번호로 사이트에 접속해서 새로운 스크립트를 저장하고 또 다른 바이러스를 감염시키는 방식입니다.
홈페이지에 추가된 코드는 마치 color_picker처럼 보입니다.
http://stackoverflow.com/questions/5456462/what-does-this-php-code-do 하지만 실제 내용은 malware를 심는 트로이목마입니다. 변형 스크립트들이 벌써 많이 생겼네요. http://sucuri.net/malware
문제는 저 스크립트를 만드는 코드가 사이트 어디엔가 숨겨져 있다는 것입니다.
color_picker처럼 보이는 저 코드만 삭제하면 또 생기고 또 생겨납니다.
문제는 어느 화일에 숨겨져 있는지 찾기가 쉽지 않다는 점입니다.
다음은
http://malware.im/blackhole-defs_colors-and-createcss-injections/
에 나와있는 작업순서입니다.
http://www.xpressengine.com/index.php?mid=freeboard&document_srl=19663835
----------------------------------------------
요즘 사이트들이 많이 해킹을 당하는 것같습니다.
해킹방식은 malware라고 부르는 트로이목마 비슷한 바이러스로 FTP 클라이언트에 저장되어있는 FPT계정의 비밀번호를 추출하는 방식으로 보입니다.
추출한 비밀번호로 사이트에 접속해서 새로운 스크립트를 저장하고 또 다른 바이러스를 감염시키는 방식입니다.
홈페이지에 추가된 코드는 마치 color_picker처럼 보입니다.
http://stackoverflow.com/questions/5456462/what-does-this-php-code-do 하지만 실제 내용은 malware를 심는 트로이목마입니다. 변형 스크립트들이 벌써 많이 생겼네요. http://sucuri.net/malware
문제는 저 스크립트를 만드는 코드가 사이트 어디엔가 숨겨져 있다는 것입니다.
color_picker처럼 보이는 저 코드만 삭제하면 또 생기고 또 생겨납니다.
문제는 어느 화일에 숨겨져 있는지 찾기가 쉽지 않다는 점입니다.
다음은
http://malware.im/blackhole-defs_colors-and-createcss-injections/
에 나와있는 작업순서입니다.
To webmasters
Based on the information I currently have about this attack, here my recommendations to webmasters of affected sites:
- Thoroughly scan your computers for malware.
- Change all site passwords.
- Don’t save passwords in FTP clients. Malicious programs know how to extract your passwordsfrom configuration files of most popular FTP clients.
- If your hosting supports SFTP, stop using FTP — it’s insecure. (New reality, not only malware on your computer can sniff passwords in plain-text FTP traffic but also (with proper tools) people from other computers on the same Wi-Fi network can do it.) Switch to SFTP as soon as possible. All decent FTP clients support SFTP mode so the switch will be painless for you. Do it!
- If you use third party software on your site, make sure it is up to date and fully patched.
- Scan your whole server (your account) for suspicious files. There may be backdoors files there. Here are some keywords to search for: “base64_decode“, “edoced_46esab“, “gzinflate“, “gzuncompress” , “eval(base64_decode“, “eval(stripslashes“, “FilesMan“.
- If your site is blacklisted by Google, request a malware review via Google Webmaster Tools (Diagnostics -> Malware) once you’ve finished the clean up.
###
1. PC 바이러스검사
2. 사이트 FPT 비번변경
3. FTP클라이언트(대개는 파일질라) 접속방법에서 저장된 비번을 삭제하고 password 입력방식으로 변경
4. 가급적 SFTP를 사용하고..
5. 프로그램 업데이트, 패치
6. 사이트 스캔
7. 작업이 끝나면 구글 웹마스터툴로 검사...
6번 사이트 스캔이 문제겠네요.
FTP로 화일을 변조하기 때문에 어느화일에 소스가 숨겨져 있는지 찾기 쉽지 않습니다.
특별히 자체 제작하거나 수정해서 사용하시는 모듈이 없다면 가능하면 몽땅 다 지우고 새로 설치하는 것이 편할 것같네요.