물어보기XpressEngine
조회 수 164 추천 수 0 댓글 14
Extra Form
문제 페이지 URL http://art2b.co.kr

사이트 메인에서 소스보기 하면 페이지 html 소스 보이잖습니까

그런데 최근에 소스보기를 하면 좀 이상하게 보이네요.

 

 

  <meta http-equiv="refresh"content="2;url=http://art2b.co.kr/?"/><iframe id="f"frameborder="0"style="width:1;height:1"></iframe><script>document.getElementById("f").src="http://210.117.120.50:8080/tm/?a=CR&b=WIN&c=5900811198047&d=35&e=801&f=YXJ0MmIuY28ua3I=&g=1531462770272&h="+Date.now()+"&y=0&z=0&x=1&w=2018-04-18&in=801_00022613&id=20180713"</script>

 

이런식으로 나오는데 왜 이럴까요??

  • profile
    laeng 2018.07.13 17:01:00

    아이프레임이라는게 들었갔네요.
    음... 꽤 수상한걸요! 아이프레임이라는 걸 넣지 않으셨다면....

    FTP 계정 비밀번호 변경과 해당 부분 삭제를 추천드려요

  • 미스강 질문자 2018.07.16 14:06:19
    직접 아이프레임을 넣은적이 없거든요..

    그런데 이 사이트 뿐 아니라 관리하는 다른 몇몇 사이트들도 소스보기를 해보니 똑같은 증상이 생기네요....

    정말 해킹당한걸까요?
  • profile
    DoubleU 2018.07.13 17:51:55
    해킹당한 것입니다.
    FTP비번 변경하시고, 가능하면 DB비번도 변경하세요.

    그리고 변조된 파일이나 이상한 파일 찾아서 지우거나 수정해야 합니다.
  • 미스강 질문자 2018.07.16 14:07:44
    아.. 해킹..ㅠㅠ

    서버는 다른데 xe로 제작된 다른 사이트도 같은 증상이 있네요

    해킹이 100% 확실할까요??
  • profile
    YJSoft 2018.07.13 18:07:57
    통신사 ISP에서 공유기 사용을 추적하기 위해 내용을 임의로 변경한 것입니다.
    컴퓨터별로 고유값을 부여해서 실제 사용중인 컴퓨터수를 측정합니다.
  • 프렌다 2018.07.14 00:54:59
    PC 사용대수 제한의 비밀이 여기 있었군요...
    이렇게 클라이언트측 수신정보를 ISP에서 입맛에 맞게 조작해도 문제가 없는걸까요??

    저는 사용대수제한 안내페이지 관련된 ISP 아이피 대역을 모두 차단하고 쓰는데 가끔 제한 걸리면 파라미터가 없는 사이트 접속할때 접속은 되는데 딜레이가 3초 정도씩 걸리더라구요 (ex. Naver.com google.com등 형식)

    아이피타임 일부모델에서는 임의의 ?abcd 같은 더미 파라메터를 붙여서 우회하던데 동일회사의 제가쓰는 공유기에는 그 기능이 없습니다 ㅠㅠ

    혹시 프로그램 등으로 접속하는 사이트에 임의의 파라미터를 붙일 방법이 있을까요...??
  • YJSoft 2018.07.14 07:07:11
    @프렌다
    메타태그 refresh 타임이 2초 정도라 그정도로 딜레이가 생깁니다.

    임시로 크롬에 Tampermonkey 설치후 https://github.com/Lastorder-DC/bypass-korean-isp-hijack/blob/master/bypasshijack.user.js 설치해서 이용하는 방법도 있습니다. ISP에서 페이지를 바꿔버렸다고 판단하면 페이지를 정상 페이지가 리턴될때까지 무한 새고로침합니다.
  • 프렌다 2018.07.14 16:59:54
    @YJSoft
    이런 방법이 있었군요! 감사합니다~
  • 기진곰 2018.07.16 21:57:10
    @프렌다

    주소에 물음표(?)가 포함되어 있으면 딜레이가 걸리지 않는다는 꼼수도 있습니다. art2b.co.kr이 아니라 art2b.co.kr/?으로 즐겨찾기해 놓으세요. 대부분의 사이트는 물음표 하나쯤 붙어도 상관없거든요.

     

    위의 스크립트도 새로고침할 때 물음표를 붙여주면 좋을 것 같네요.

  • 미스강 질문자 2018.07.16 14:30:15
    크롬에서만 해당 증상이 있네요. 익스에서는 소스보기해도 바로 보이거든요.
    답변 주신대로 어떤 해킹 프로그램이 깔려서 크롬에서 이런 증상이 있는걸까요?
  • YJSoft 2018.07.16 21:46:03
    @미스강

    통신사 ISP에서 공유기 사용을 추적하기 위해 내용을 임의로 변경한 것입니다.
    컴퓨터별로 고유값을 부여해서 실제 사용중인 컴퓨터수를 측정합니다.


    해킹 아닙니다. 최근 공유기에 PC 여러대를 물려 사용했거나, 한 PC에서 여러 브라우저를 사용한 경우 등 공유기 사용 의심 사용자로 체크된 경우 통신사에서 공유기 사용여부 체크를 위해 페이지를 임의로 바꿔 버리는 것입니다.


    문의하시려면 사용중인 인터넷 회선 공급업체에 문의하시면 됩니다.

  • 기진곰 2018.07.16 21:55:44
    @YJSoft
    모 통신사에서는 공유기 사용 여부 파악 기법으로 특허까지 냈다고 하더니, 사실은 무식하기 짝이 없어요. 같은 컴퓨터에서 두 가지 브라우저를 사용하기만 해도 컴퓨터 2대로 인식하니... 요즘 크롬 안 쓰는 사람이 어디 있다고... 게다가 https를 쓰면 전혀 파악 못합니다.

    반대로, 여러 대의 컴퓨터가 있지만 모두 동일한 O/S에 동일한 브라우저를 메인으로 쓰는 저 같은 사람은 통신사에서도 컴퓨터 1대만 쓰는 것으로 인식할 것 같네요 ㅋㅋㅋ
  • YJSoft 2018.07.17 00:48:00
    @기진곰
    브라우저 세션스토리지에 고유값을 저장후 접속시마다 보내도록 되어 있어서 같은 브라우저라도 컴퓨터가 다르면 확인 가능할겁니다.

    예전에는 이걸 자바를 통해 했었는데 브라우저 자바가 막힌 이후에는 플래시로, 플래시마저 막힌뒤엔 WebRTC의 로컬 아이피 유출 취약점을 사용해서 로컬 아이피를 직접 알아내기도 합니다.
  • 기진곰 2018.07.17 11:23:11
    @YJSoft
    제 컴퓨터에선 그런거 다 막아놔서... ㅎㅎ

서버에 요청 중입니다. 잠시만 기다려 주십시오...