안녕하세요.
오늘부터 저희 회사에서 웹사이트를 접속하면, 웹사이트로 바로 접속되는 것이 아니라 아래 주소의 스크립트가 먼저 실행되고 있습니다.
===========================================================================
http://59.29.251.41/tm/?a=WH&b=WIN&c=0&d=32&e=5102&f=d3d3LmRhdW0ubmV0&g=1598941714094&h=1598941714226&y=0&z=0&x=1&w=&in=5102_1528_06476096&id=2020-09-01
===========================================================================
단순 실행 후 접속이 잘되면 모를까 위 스크립트가 반복 실행되면서 접속 자체가 안되거나 지연되는 문제가 발행하고 있습니다.
저희 회사에서는 전문 방화벽이나 웹보안 프로그램은 사용중에 있지 않고,
메인 공유기에도 별도의 프로그램을 설치하거나 하지 않았습니다.
검색해보니 통신사에서 특정 스크립트로 통계 확인은 하는 경우가 있다고 해서 저희 인터넷 업체인 KT에 전화했더니, KT와는 상관없는 문제라고 합니다.
관련 해서 아시는 분 계실까요?
혹시나 해킹이 아닐까 걱정이 됩니다. ㅠㅠ
미리 답변 감사드립니다.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
4개의 답변이 있습니다.
소스가 있어야 할것 같네요
자바스크립트안에 onload 구문이건 뭐건 있을것 같은데...
특정 웹브라우저(IE()에서만 동작한다면
DNS 도 봐야할것 같구요.
llsyj2500 | 3년 이상 전
안녕하세요.
답변 감사합니다!!
IE 크롬(+웨일) 상관없이 저희 홈페이지나 다음 등의 사이트 접속 시 위 링크가 먼저 열리고 있었습니다. 전수 검사를 한 건 아니지만 개인 피시들의 DNS 설정이나 윈도우 호스트파일은 변조되지는 않았습니다.
저 링크가 스크립트 링크인지는 어떻게 아셨는지 궁금하고요...
확인되지 않은 링크를 이렇게 올리는건 상당히 위험할 수 있을 것 같아 보이네요.
악성 스크립트에 대한 링크일 경우에, 문제 의식없이 클릭해 보는 접속자들이 많기 때문에 피해를 유발할 수 있을 것 같고요.
만약, 어떤 스크립트인지를 알고 쉽을 경우라면 링크를 걸지 않는 형태로 해서 확인해 보기를 원하는 사람만 접근할 수 있게 만들거나, 해당 스크립트를 압축해서 첨부한다거나 해서 경고 문구도 함께 명시해서 올리는게 좋을 것 같고요.
59.29.251.41 가 KT에서 할당받은 IP인지, KT를 이용하는 가입자가 운영하는 호스트 일걸로 보이고요.
인터넷 공유기가 할당 받은 주소일 수도 있겠는데...
https://findip.kr/ 에 접속하셔서 내 아이피 주소가 59.29.251.41이 아닌지 확인해 보시기를 바라고요.
아니라면 누군가의 해킹 시도일 가능성이 높아 보이네요.
한대 컴퓨터만 저런 증상이 나타나는게 아니라 사내 모든 컴퓨터가 그런 증상이 있다면 게이트웨이 장비가 악성 코드에 접속되게 하는 영향을 받은 것 같아 보이고요.
예를 들어 인터넷 공유기나, 방화벽 등의 장비가 될 수 있겠는데...
게이트웨이 장비를 초기화 시킨 후에 펌웨어를 업그레이드 시킬 필요가 있을 것 같네요.
해당 링크를 다른 이름으로 저장하기 해서 html file 내용을 대충 보았는데요.
폼이 hiddent으로 만들어져 있고요. 뭔가 숨기기 위한 목적으로 사용되었다는 느낌이 들고요.
그리고, 플래시를 열고 있는데, 플래시 파일 이름도 _.swf와 같이 불순한 의도가 보이는 파일 이름으로 보여지고요.
그 다음으로 java script 함수들이 나열되고 있는데...
URL 주소를 복잡한 과정으로 만들고 있는 걸로 보이네요.
좋은 의도로 만들어진 스크립트라면 명시적으로 URL 주소를 단순하게 지정해서 만들수도 있는 내용일 건데, 복잡한 과정으로 잘 알아 보기 어렵게 만든것 자체에서 부터 불순한 의도가 보여 지고요.
정확하게 분석해 보려면 상당한 시간이 소요되는 작업이다 보니...
굳이 많은 시간을 뺏기고 쉽지는 않고요.
제가 봤을때는 악의적인 목적으로 제작된 스크립트라고 보여 지네요.
내부에서 사용되는 게이트웨이 장비를 초기화시키고, 펌웨어를 최신 버전으로 업그레이드 해서 사용할 것을 권장드리고 싶네요.
llsyj2500 | 3년 이상 전
안녕하세요. 답변에 큰 도움이 되었습니다.
저희 홈페이지나 다음 등의 특정 사이트 접속 시 접속 불안과 지연이 발생하여 무슨 문제인지 찾다가 발견했는데요. 웹브라우저의 개발자도구를 연 상태에서 사이트 접속을 하면 사이트로 접속 전에 위 링크의 스크립트가 먼저 실행이 되고 있었었습니다.
저희에게 할당된 아이피는 아니였구요. 공유기 등의 장비는 모두 펌웨어는 최신 버전으로 유지 중에 있었고, 각 개인 피시의 백신도 모두 정상 실행 중이었네요.
관련해서 이것저것 찾다보니 네*버에서 아래 같은 글을 확인하였는데요. 같은 사례인지는 아직 모르겠습니다.
https://kin.naver.com/qna/detail.nhn?d1id=1&dirId=11001&docId=252037055&qb=NTkuMjkuMjUxLjQx&enc=utf8§ion=kin&rank=2&search_sort=0&spq=0
KT에도 문의했는데 자기들은 절때 아니라며 피시의 보안을 확인해보라는 말만 들었네요.
의심은 갑니다만 증명할 방법이 없네요.
결과적으로 다음날 해당 증상은 없어졌습니다.
계속 살펴는 보고 있는데... 동일 증상 발생 시 대처 방안은 아직도 감이 안잡히네요.
제발 위험한 일이 아니기를 빌고 있습니다. ㅠㅠ
답변 다시 한번 감사드립니다. :)
그리고 본문의 링크 항목이 위험할 수 있다는 점을 미쳐 생각 못했네요.
이런 실수를...
어서 수정해야할텐데 글 수정이 버튼이 사라졌네요 ㅠ
링크를 눌러보려다가 출처를 알 수 없고 글 올리신 분도 모르는 링크라서 눌러보지 않았습니다.
방화벽도 보안 프로그램도 없이 웹서버를 공유기 아래에 운영중 이시면 해킹 당했다고 볼 수 있지 않을까요?
59.29.251.41 IP는 사용하고 계신 사무실 공인 IP인가요? 모르는 IP 인가요?
웹서버 코드들 중에 변조된 코드는 없는지 없던 화일이 생긴것은 없는지 확인해보시죠.
llsyj2500 | 3년 이상 전
안녕하세요!!
링크에 우험성이 있는데 이를 그대로 본문에 올려버렸네요 ㅠㅠ
이거 수정해야하는데 수정 버튼이 사라져서 본문글 자체를 삭제해야하나봅니다;;;
방법 확인해서 조치하도록 하겠습니다.
답변 감사드리구요. 질문 주신 부분에 대해서 답변 드리면, 저희는 공유기 아래에 웹서버는 따로 없었습니다. 그리고 저희 공인 IP하고도 달랐네요.
다음날 증상이 사라져서 원인은 찾지 못한 상태입니다. 아래 댓글에도 달았는데 KT 쪽에서 뭔가 한거 아닌가 하는 의심만 있습니다.
https://kin.naver.com/qna/detail.nhn?d1id=1&dirId=11001&docId=252037055&qb=NTkuMjkuMjUxLjQx&enc=utf8§ion=kin&rank=2&search_sort=0&spq=0
다음으로 리다이렉션 되네요...
저 주소말고 주소가 포함된 소스를 전첵적으로 봐야죠..
아무래도 iframe에서 실행되게 했을 거 같네요...
iframe에서 실행되는 것이면 좋은 의도로 코딩된 건 아닐 듯 합니다.
개발사측에 문의해서 필요없는 소스라면 과감하게 삭제하시고 보안점검을 받아보세요...
llsyj2500 | 3년 이상 전
안녕하세요.
답변 감사합니다.
아마 다음 접속 시 확인한 링크라서 그런 것 같습니다.
저희가 다로 웹서버 등을 돌리는게 아니라서... 매우 난감하네요.
보안 업체에 보안 점검을 따로 의뢰해야할지....ㅠㅠ