서버의 ftp 로그 확인을 해보면 pc 해킹을 통해서 해당 pc 에 저장된 ftp id, password 정보를 추출한 후, 서버로 접근해서 main.html, index.html index.php 등 웹소스의 마지막줄 또는 body 부분의 첫줄에 iframe code를 삽입하는 것이 일반적이다.
iframe code 속을 살펴보면 다음과 같은 패턴이 일반적이다.
iframe src = "http://xxxxxxxx.ru:8080/index.php" width="xxx" height="xxx" ~~ /iframe
ru:8080 또는 cn:8080 등등
아래의 주석처리된 html 코드가 삽입되어 있으며, 감염된 파일의 특징은 다음과 같다.
일반적으로 감염 파일 명은 index.php 또는 index.html 이며, 웹사이트의 모든 하위 dir 의 index.php 또는 index.htm index.html 이 감염되어 있다.
그러나, 요즘은 저 방식이 발전해서, main.html 또는 기타 파일들을 감염시킨다.
감염된 홈페이지로 이동하면, 안티 바이러스 프로그램이 실시간 보호 기능을 하고 있을 경우, 바이러스 감염 경고가 뜬다.
그리고, apache 실행 유저인 apache 또는 nobody 소유권의 dir (즉, 일반적으로 퍼미션이 777 권한인) 아래에 index.php 또는 index.html 과 같은 빈 파일이 생성되어 있는것이 특징이다.
위에 대한 대처 방법은 다음과 같다
백신 프로그램을 이용 PC 에 감염된 파일이 없는지 검사
xferlog 등 FTP log 를 근거로 감염된 파일명 모두 체크하여 악성코드를 제거
해당 pc의 악성코드가 제거되지 않은 상태에서 단순히 비밀번호를 바꾸어 FTP 접속을 하게 되면 지속적으로 ID, Password가 유출되어서 사이트 변조가 지속됨