11112
TopsMate
HOME 프로그램소개 프로그램기능 데모보기 및 다운로드

질문과답변
자료실
유용한팁
홈피자랑
업글정보
공지사항
지원의뢰

RSS  

 제목 피싱 및 말웨이로 감염되었을때..   Hot
 작성자 잭다니엘    조회 9,246
 도메인  파일
 등록일 2009-05-21 17:42:42
안녕하세요.
결국엔 말웨이로 감염되어, 4일동안 고생만 했습니다..
그래도 다행이 해결점을 찾아 이렇게 정보를 공유하고자 합니다.

처음 사이트가 감염되었다는것을 알게된것은, 구글에서 검색했을때, "이 사이트는 컴퓨터에 문제를 야기할수 있습니다." 라는 문구랑 같이 검색되었습니다.

바로 FTP로 접속해서 파일들을 확인했죠..처음 <?php 로 시작하는 부분 바로 위에 이상한것을 쫘~~~들어가있었습니다.

그래서 호스팅회사에 바이러스 체크요청하고, 소스들을 모두 수정완료했습니다.
문제는, 이렇게 해서 끝나는것이 아니라는것이였습니다. 이것들이 교묘하게 js 파일에도 숨겨놓고,  지워도 몇일후 또다시 원상태로 돌아가고..휴..

그래서 결국에 서칭을 하다가 "한국정보보호진흥원" 이라는곳을 알게되었습니다.
해당사이트에서 "악성코드 은닉 사이트 탐지 프로그램"을 신청하고, 검사해보니, 무슨 .cn 으로 끝나는 곳으로 정보가 유출되고 있었습니다.

에구 서두가 너무 길었네요...암튼 방법을 적어 봅니다. 저와같이 고생하시는분들 한방에 해결하시길 바라면서..

1. 한국정보보호진흥원 사이트 (http://www.krcert.or.kr/) 에서 악성코드 은닉 사이트 탐지 프로그램을 신청하고 검사한다.

2. 해당 사이트에서 홈페이지 보안강화도구(CASTLE) 를 다운로드 받아 사이트에 설치한다.
- http://www.krcert.or.kr/noticeView.do?num=304
  (설치할때 주요 불러들이는 파일 상단에 설치하면된다고 하는데, 탑스는 어떤 파일인지 몰라서 저같은경우 감염되었던 파일을 모두 설정했습니다.)

3. 설치후 안내에 따라 소스를 수정하고 다시 업로드 한다..
   (이때 이미 감염되었다면, 감염된 소스를 모두 찾아서 수정하셔야 합니다...)

4. 소스가 모두 수정되었고, 설치가 완료되었으면, CASTLE 어드민 모드로 로그파일을 확인해보면, 아직도 공격여부가 있는지, 아니면 소스중 공격가능성 파일이 있는지 나옵니다.

아래는 참고하시고, 필요하신분들 해당링크에서 확인해보세요..

※ 보안성 강화 도구 사용을 권장(침입시도 및 공격코드 차단)

o
홈페이지 보안강화도구(CASTLE)
- http://www.krcert.or.kr/noticeView.do?num=304

※ 무료 방화벽 사용을 권장(방화벽 설치 시 주요 웹해킹 방어가능)

o WebKnight
를 이용한 SQL Injection 공격 차단 (윈도우즈/IIS)
- http://www.krcert.or.kr/unimDocsDownload.do?fileName1=060210_TR2006003.pdf&docNo=TR2006003&docKind=2

o WebKnight
설치 운영 FAQ
- http://www.krcert.or.kr/docDown.jsp?dn=9

o ModSecurity
를 이용한 아파치 웹서버 보안 (리눅스/Apache)
- http://www.krcert.or.kr/unimDocsDownload.do?fileName1=060314_TR2006004.pdf&docNo=TR2006004&docKind=2

※ 무료 웹취약점 점검을 신청(웹취약점 탐지 및 해결방법을 설명)

o
무료 홈페이지 취약점 점검서비스 신청하러가기
- http://webcheck.krcert.or.kr

※ 아래의 문서를 참조하여 해킹에 대응하시기 바랍니다.

o
홈페이지 개발 보안 가이드
- http://www.kisa.or.kr/trace_log/homepage_guide_down.jsp

o
웹 어플리케이션 보안 템플릿
- http://www.krcert.or.kr/docDown.jsp?dn=3

o
침해사고 분석절차 가이드
- http://www.krcert.or.kr/docDown.jsp?dn=10

o PHP
웹 게시판 취약점 관련 사고분석 및 보안대책
- http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2005001.pdf&docNo=IN2005001

o SQL Injection
취약점을 이용한 윈도우즈 웹서버 사고 사례
- http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2005014.pdf&docNo=IN2005014

o
웹 해킹을 통한 악성 코드 유포 사이트 사고 사례
- http://www.krcert.or.kr/unimDocsDownload.do?fileName1=050629-IN-2005-012.pdf&docNo=IN2005012

o ARP Spoofing
기법을 이용한 웹 페이지 악성코드 삽입 사례
- http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2007003.pdf&docNo=IN2007003&docKind=3

궁금하신 점은 국번 없이 118(한국정보보호진흥원)로 연락바랍니다.

List modify write reply delete

admin (2009-05-21 17:47:24)
좋은 정보 감사드립니다.
  
잭다니엘 (2009-05-22 01:09:11)
운영자님!! 건의사항입니다. 바쁘신건 알지만,
이거 설치에 보면, 사이트에 접속했을때 특정파일을 불러오고, 그 파일을 통과해야만 사이트에 접속이 되는
아~ 말로 하니까 힘드네요...그걸 뭐라고 하더라....왜 제로보드나 그누보드처럼 모든 파일에서 헤드 하나만을 불러오잖아여..그것처럼 탑스도 불러와지는 파일이 있을텐데...거기에만 적용하면 된다고 하거든요..
저처럼 무식하게 모든 파일에 적용하니 에러도 생기고 그러네요...좀 정리해서 알려주시면 적용하기에 좋을듯해서여....부탁합니당...
  
써포터 (2009-05-22 10:24:18)
네.. php 스크립트의 경우에는 tops/index.php와 tops/index_index_popup.php 입니다.
자바스크립트 또는 html, css 의 경우라면 tops/conf/conf_head.php 에 전화면에 호출되는 헤더가 정의되어 있습니다.
  
잭다니엘 (2009-05-22 20:21:10)
감사합니다...
  
NAME PW  
관련글
다음글
이전글


이용약관 | 프로그램소개 | Tops와 프로모션
(주)제이터치 대표이사 이왕태 | 개인정보관리책임자: 이왕태 | 이메일: help@j-touch.com
서울특별시 성동구 하왕십리동 966-21 제3층 | 사업자등록번호: 206-86-69197 | 통신판매업번호: 제2012-서울성동-0626호
copyright © J-Touch All Rights Reserved.