MDIWEBMA.COM

웹마 사이트에 대한 IP 변조 수법이 발견이 되었습니다. 작성자 : 김대정, 2013.04.21 (01:04), 조회 : 15,651
웹마2, 리채1, 리채2의 자동 업데이트가 중지 되었습니다. 
자동 업데이트시 파일 유효성을 체크하는 버전은 추후 사이트를 통해서 제공하겠습니다. 
그때 까지 업데이트 창이 뜨는 경우는 업데이트 하지 마시고 아래 확인 방법대로 확인 부탁드립니다. 

주소바에
cmd /K ping www.mdiwebma.com
라고 입력후 실행하여

Ping www.mdiwebma.com [115.71.239.205] 32바이트 데이터 사용:

위 IP가 아닌 다른 IP가 노출된다면

c:\Windows\System32\drivers\etc\hosts

이 파일을 열어서 mdiwebma.com 항목이 있는지 확인 해주세요. 


퓨마 13.04.21 (01:30) 삭제
누가 그랬을까요..어떤 나쁜넘이..분명 이 사이트에도 가입되었을것 같습니다..나쁜놈. 아주 나븐놈이네,,,개인사용자에게 무료로 브라우져제공하는게 뭐 어때서? 죽일넘.

김대정 13.04.21 (01:38) 삭제
Thethe님 말이 사실이라면 사이트를 해킹해 놓구 관리자가 인지할 시점에 파일을 원래대로 해 놓는다는 건데요.. 흡 사이트가 진짜 해킹된건지 내일 전문가를 불러 재차 확인해 보겠습니다.

혹시 ping ip 주소랑 지금도 업데이트창 뜨는지 확인 가능할까요?

순수영혼 13.04.21 (01:49) 삭제
저같은 경우에는 업데이트 창이 떠서 클릭하니 반응이 없어서 작업관리자 창을 띄웠는데 iexplore.exe
프로세스가 4,5개 떠있고 conime.exe인가도 뜨고 하면서 MSE에서 트로잔하고 온라인게임핵 같은 것들을
잡아내더군요.
백신 실시간 켜있으면 업데이트가 안되나 싶어서 실시간 감시 끄고 업데이트 재실행해도 마찬가지여서
뭔가 이상하다싶어서 프로세스들 강제 종료하고 MSE 전체검사로 싹 돌리니 7,8개쯤 잡히던데..
싹 제거하긴 했는데 이제는 괜찮을라나 싶네요.
공지보고 hosts 파일 확인하니 위의 내용은 딱히 없고 cmd ping 에서도 정상으로 찍히고는 있네요.
최신버전 확인도 지금은 버전파일을 다운하지 못했다고 뜨긴 하는데 백신 치료로 제대로 지워진 걸까요?

김대정 13.04.21 (03:06) 삭제
정말하게 서버를 살펴본 결과 서버가 해킹당한 정황을 발견했습니다.
사용하지 않는 옛날 위키 프로그램을 통해서 해커가 만들어 놓은 해킹php 프로그램이 업로드되어서 그것을 통해서 업데이트 파일과 버전을 교체했던 것으로 보입니다.
웹마 패치파일도 설치파일은 제가 올린 것과 동일하였으나 파일 소유권한을 보니 제가 FTP로 올린 파일이 아닌 아파치 웹서버를 통해서 업로드된 파일이었습니다. 해커가 절묘한 타이밍에 파일을 원본으로 교체해서 제가 상황 파악을 잘 못하게 해 둔 것 같습니다.
정확한 이유는 모르겠지만 관리자를 혼동시켜서 문제가 없다라고 만들려는 의도와 추후 다시 써 먹을려는 모양인 것 같습니다.

서버 관리를 제대로 못해서 이런 상황이 발생하여 대단히 죄송스럽습니다.
최대한 빨리 대책마련을 하겠습니다.

감사합니다.

푸르르 13.04.21 (07:19) 삭제
어제(4/20) 자동업데이트 메세지가 뜨길래 반가웠지만, 버전 표시가 5.0.xxx 으로 표시되어 이상하다 싶어 중지했었는데...
오늘(4/21) 아침 7시에 컴퓨터를 다시 켜니 알약에서 감지되어 호스트변조를 치료했다고 나와 놀란 마음에
웹마사이트에 오니 이런저런 소식이 있군요. ㅡㅡ;
제 hosts 파일이 위치한 곳에 알약이 치료한 시점에 hosts.ics 라는 파일이 생성되어 있는데 (알약이 만든건지 모르겠지만...)

그 내용은 아래와 같았습니다.
각종 은행사이트......... @.@

67.229.70.34 keb.co.kr
67.229.70.34 keb.co.kr
67.229.70.34 www.keb.co.kr
67.229.70.34 www.keb.co.kr
67.229.70.34 citibank.co.kr
67.229.70.34 citibank.co.kr
67.229.70.34 www.citibank.co.kr
67.229.70.34 www.citibank.co.kr
67.229.70.34 www.secbank.co.kr
67.229.70.34 www.secbank.co.kr
67.229.70.34 secbank.co.kr
67.229.70.34 secbank.co.kr
67.229.70.34 ibs.kfcc.co.kr
67.229.70.34 ibs.kfcc.co.kr
67.229.70.34 www.kfcc.co.kr
67.229.70.34 www.kfcc.co.kr
67.229.70.34 open.ibk.co.kr
67.229.70.34 open.ibk.co.kr
67.229.70.34 kiup.ibk.co.kr
67.229.70.34 kiup.ibk.co.kr
67.229.70.34 mybank.ibk.co.kr
67.229.70.34 mybank.ibk.co.kr
67.229.70.34 www.ibk.co.kr
67.229.70.34 www.ibk.co.kr
67.229.70.34 www.epostbank.go.kr
67.229.70.34 www.epostbank.go.kr
67.229.70.34 epost.go.kr
67.229.70.34 epost.go.kr
67.229.70.34 www.epost.co.kr
67.229.70.34 www.epost.co.kr
67.229.70.34 open.shinhan.com
67.229.70.34 open shinhan.com
67.229.70.34 bizbank.shinhan.com
67.229.70.34 bizbank.shinhan.com
67.229.70.34 banking.shinhan.com
67.229.70.34 banking.shinhan.com
67.229.70.34 www.shinhan.com
67.229.70.34 www.shinhan.com
67.229.70.34 obiz.kbstar.com
67.229.70.34 obiz.kbstar.com
67.229.70.34 kbstar.com
67.229.70.34 kbstar.com
67.229.70.34 www.kbstar.com
67.229.70.34 www.kbstar.com
67.229.70.34 obank.kbstar.com
67.229.70.34 obank.kbstar.com
67.229.70.34 open.hanabank.com
67.229.70.34 open.hanabank.com
67.229.70.34 hanabank.chzero.com
67.229.70.34 hanabank.chzero.com
67.229.70.34 www.hanabank.com
67.229.70.34 www.hanabank.com
67.229.70.34 hanabank.com
67.229.70.34 hanabank.com
67.229.70.34 u.wooribank.com
67.229.70.34 u.wooribank.com
67.229.70.34 spd.wooribank.com
67.229.70.34 spd.wooribank.com
67.229.70.34 pid.wooribank.com
67.229.70.34 pid.wooribank.com
67.229.70.34 www.wooribank.com
67.229.70.34 www.wooribank.com
67.229.70.34 wooribank.com
67.229.70.34 wooribank.com
67.229.70.34 www.nonghyup.com
67.229.70.34 www.nonghyup.com
67.229.70.34 nonghyup.com
67.229.70.34 nonghyup.com
67.229.70.34 banking.nonghyup.com
67.229.70.34 banking.nonghyup.com

푸르르 13.04.21 (07:54) 삭제
감지는 알약이....치료는 V3 Lite 로 되었습니다. ㅡㅡ;
알약은 치료되었다고 하나 자주 그렇듯이 원인이 아닌 결과만 치료하여 hosts.ics 파일이 계속 재생성되며,
이번건은 V3lite 에서 C;\\windows\\Task\\conime.exe 를 삭제했습니다.
conime.exe 프로세스가 상주중일때는 계속 hosts.ics 파일이 재생성되며, 알약에서 재감지를 반복합니다.
주의하여 대응해야 겠습니다. ㅡㅡ;

도라지 13.04.21 (08:13) 삭제
1069버전은 마우스 움직임이 거침없고 빠릿한데, 1076버전은 자동 업데이트를 하나안하나 마우스가 상당히 무겁고 버벅였습니다.
제 컴 사양이 딸려서 그런가보다 해서, 1069버전을 사용했었는데, 이런 일이 있었군요.

말씀하신대로 웹마 주소바에 입력하고 엔터하니까, 주소가 이렇게 바뀌네요.
http://cmd%20/K%20ping%20www.mdiwebma.com

그리고 hosts 파일을 열어 보니 아래와 같습니다.

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

이상 소견이라도 발견되나요?

Ssunart 13.04.21 (11:47) 삭제
수고 많으십니다.
어제 제가 http://windowsforum.kr/4536304 여기에 웹마 홍보를 하였었는데....
그후 바로 이런 사태가 벌어졌습니다.
김대정님께 참고가 되었으면 합니다.

저는 업그레이드 할려 했어도 버그게시판에 올린 것 처럼 못했습니다.
그래서 그런지 호스트 파일이나 다른 파일 변조는 없는 것 같습니다.

소개도 마음대로 못하겠네요 ㅠㅠ

Ssunart 13.04.21 (11:59) 삭제
댓 글이 마구 달리 던 때 하고 시간 때가 해킹 시점이 비슷 한 것 같아서 알려드립니다.

14.07.15 (12:07) 삭제
저는 저 url을 주소창에 붙여넣었는데 "페이지를 표시할 수 없습니다"만 뜹니다만

최예한 15.11.20 (23:32) 삭제
어떤 놈이나 영창가야지 나는 다행히 바이러스 안 걸림 그사람 깜방가서 깜방생활 생각하면 재밌겠다.

목록 수정 삭제

번호 제 목 이름 등록일 조회수
웹마 사이트에 대한 IP 변조 수법이 발견이 되었습니다. (11) 김대정 13.04.21 15,651
웹마2 업데이트 서버 해킹 여부에 확인 사항 공지 드립니다. (16) 김대정 13.04.21 9,750
daum사이트 방문후 웹마의 잦은 비정상 종료에 대한 공지입니다. (17) 김대정 07.06.09 32,907
7 웹마 리뉴얼 사이트 공지. (25) 김대정 07.09.13 27,337
6 웹마 라이센스 (2) 김대정 07.06.02 17,946
5 사이트 트래픽 일일 트래픽 3기가로 증가 (1) 김대정 06.11.18 9,388
4 동영상 저장에 관련한 질문과 쪽지, 메일에는 답변하지 않습니다. 김대정 06.05.19 12,370
3 웹마 홈페이지 개선사항입니다. (2) 김대정 06.01.10 10,709
2 웹마 후원하는 방법, 내역 (8) 김대정 05.08.08 17,870
1 [05-09-23 수정] 게시판 쓰기 권한 로그인 사용자로 제한 김대정 05.04.12 12,324
이전 페이지  1 다음 페이지 글쓰기