멀웨어 감염 유형: 서버 구성

Search Console에 멀웨어 감염 유형 '서버 구성'이 포함된 URL이 있다는 것은 무슨 뜻인가요?

해커가 사이트를 해킹하고 서버 구성 파일을 수정하여 내 사이트의 방문자를 해커의 멀웨어 공격 사이트로 리디렉션하고 있다는 뜻입니다. 일반적으로 사이트 관리자는 서버 구성 파일을 통해 웹사이트의 특정 페이지 또는 디렉토리에 URL 리디렉션을 지정할 수 있습니다. 예를 들어 Apache 서버의 .htaccess 파일 및 httpd.conf 파일이 여기에 해당합니다.

멀웨어를 배포하도록 해킹당한 사이트에 관한 일반적인 정보를 더 알아보려면 피해 평가(멀웨어 해킹)를 참조하세요.

'서버 구성' 멀웨어 유형의 리디렉션 동작을 어떻게 확인할 수 있나요?

우선 브라우저를 사용하여 사이트의 해킹된 페이지를 표시하면 안 됩니다. 멀웨어는 주로 브라우저 취약성을 이용하여 전파되므로 감염된 멀웨어 페이지를 브라우저에서 열면 컴퓨터에 피해를 줄 수 있습니다.

cURL 또는 Wget을 사용하여 HTTP 요청(예: 페이지 가져오기)을 수행함으로써 동작을 확인해 봅니다. 이렇게 무료로 사용할 수 있는 도구는 리디렉션 진단에 유용하며 리퍼러 또는 user-agent 정보를 유연하게 포함할 수 있습니다. 해커는 특정 user-agent 또는 리퍼러가 있는 사용자에게만 악성 콘텐츠를 게재함으로써 더 많은 '실제 사용자'를 타겟팅하고 사이트 소유자 및 멀웨어 스캐너로부터 발견되는 것을 더 잘 피할 수 있습니다 (이러한 도구를 사용하려면 사이트가 온라인 상태가 되어야 합니다). 예:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </your-infected-url>
예:
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
'서버 구성' 유형 감염이 포함된 페이지를 가져오면 다음과 같은 헤더가 표시될 수 있습니다.
...
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

 

사이트에서 '서버 구성' 멀웨어 유형을 정리하려면 어떻게 해야 하나요?

쉘이나 터미널 액세스를 통해 서버에 로그인(원하는 경우 사이트가 오프라인 상태여도 됨)하고 관련 서버 구성 파일을 검토합니다. 해커가 수정한 서버 구성 파일이 사이트에 2개 이상일 수도 있습니다. 이러한 파일에서 해커가 사이트를 설정하여 알 수 없는 멀웨어 공격 사이트로 리디렉션할 수 있으므로 리디렉션과 같은 원치 않는 명령어가 있는지 확인합니다. .htaccess에서 예를 들면 다음과 같습니다.

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
또한
  • 해커가 파일 마지막 부분에 알아채기 어려운 코드를 추가했을 수도 있으므로 전체 파일을 확인하도록 합니다.
  • .htaccess 파일을 계속 업데이트하도록 해커가 생성했을 수도 있는 cron 작업을 조사합니다. cron 작업은 /etc/crontab(또한 다수의 /etc/cron* 디렉토리)과 /var/spool/cron을 포함한 여러 위치에 표시될 수 있습니다.

사이트를 정리할 준비가 되면 서버 구성 파일을 알려진 안전한 백업으로 대체하거나 기존 파일에서 원치 않는 코드를 삭제하세요. 새 구성 파일이 활성화되어야 하는 경우 웹서버를 다시 시작하세요.

멀웨어 유형 '서버 구성'을 정리하면 해킹된 사이트 복구에 도움이 되겠지만 처음 사이트를 해킹하도록 허용한 근본적인 취약성은 해결되지 않으며 해커가 다시 해킹할 수 있습니다. 전체 사이트를 정리하는 데 추가 정보가 필요한 경우 해킹된 사이트 복구 문서에서 멀웨어 해킹 주제를 참조하세요.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?