홈페이지 해킹 유형 3가지에 대해 알아보는 포스팅을 하겠습니다. 홈페이지 해킹 은 해커들이 쉽게 접근할 수 있는 해킹입니다. 고등학생이 네이버를 해킹하기 위하여 집에서 몇 년을 혼자 공부하다 성공한 사례도 있듯이 홈페이지 해킹 은 해커나 해커를 꿈꾸는 이들에게 연습용으로도 접근할 수 있어 만연한 해킹 수법입니다. 그러니 기업이나 개인 홈페이지를 운영하시는 분들은 홈페이지 해킹 을 대비하셔야 하십니다. 여기서는 영세기업인들에게 초점을 두고 홈페이지 해킹 의 유형들에 대해 살펴보는 자리를 갖겠습니다.
위의 그림은 홈페이지 해킹 유형 2. 악성코드 유포 개념도 와(위 그림), 홈페이지 해킹 유형 3. 디도스 공격 개념도(아래 그림)입니다.
홈페이지 해킹 유형 1. 홈페이지 변조
홈페이지 변조 공격은 홈페이지의 메인화면등을 변조하는 공격입니다. 원래 홈페이지 메인화면이 아니라 해커가 올린 사진으로 홈페이지 메인화면이 바뀌는 등의 공격입니다. 일반적으로 해커가 자기 실력을 과시하기 위해 사용되거나 정치적 비판의 메시지를 전파하기 위해 사용되는 홈페이지 해킹 유형입니다. 홈페이지 변조공격은 WebDAV 취약점이나 파일 업로드 취약점을 이용하여 이루어집니다.
WebDAV는 윈도우 환경에서 IIS설치시 기본으로 설치되는 원격관리 서비스인데요. 운영자가 보안설정을 잘못하면 홈페이지 디렉터리에 쓰기 권한이 부여되고 해커는 WebDAV를 사용해 원하는 파일을 업로드해 홈페이지를 변조하는 것입니다.
홈페이지 해킹 방식인 WebDAV 취약점 예방법 아래와 같습니다.
○ 홈 디렉터리의 메뉴에 쓰기 권한 삭제 합니다.
○ 운영체제 와 IIS 버전 업그레이드를 합니다.
○ httpext.dll 파일의 Everyone 권한 삭제를 합니다.
○ 불필요한 경우 WebDAB 서비스를 중지 시킵니다.
파일 업로드 취약점은 홈페이지의 게시판에 이미지이외에 php, asp jsp등의 스크립트 파일등을 업로드 하여 웹서버에서 그 스크립트를 실행하게 되면 웹콘텐츠를 변경할 수 있는 홈페이지 해킹 방식입니다.
홈페이지 해킹 방식인 파일 업로드 취약점의 예방법은 아래와 같습니다.
○ 업로드 파일 저장시 파일명 변경합니다.
○ 파일 업로드를 제한합니다.(첨부파일 기능, 쓰기권한, 확장자 등)
○ 업로드 파일의 실행권한을 제거 합니다.
○ 오픈소스 게시판 보안 패치를 합니다.
홈페이지 해킹 유형 2, 악성코드 유포
해커가 홈페이지 해킹 하여 악성코드를 홈페이지에 심으면, 다른 사용자가 홈페이지 접속 시 사용자 컴퓨터에 악성코드가 심어지는 방식입니다.
일반적으로 사용자의 자바, 플래시 플레이어, 브라우저, 문서편집기 등의 복합적인 취약점을 이용하서 악성 스크립트를 실행시켜 사용자의 컴퓨터를 감염시킵니다. 최근에는 랜섬웨어를 심는 공격이 많이 이루어지고 있습니다.
이를 예방하기 위해서 홈페이지 관리자는 웹서버 보안을 강화하고 사용자는 믿을만한 백신을 컴퓨터에 설치하고 운영체제와 프로그램 업데이트를 충실히 해야 합니다.
같은 블로거 입장에서 워드프레스 하시는 분들도 주의를 하시기 바랍니다. 보안에 신경 써도 워드프레스가 해킹당해 구글에서 접근금지 사이트로 등록되기도 한다고 합니다. 자신이 워드프레스 서버의 보안등을 잘 지킬 자신 있는 사용자가 아니면 워드프레스 보단 티스토리나, 구글 블로그, 네이버 블로그, 이글루스 같이 전산전문가가 대신 서버관리해주는 블로그를 이용하는 것이 낫다고 생각합니다.
홈페이지 해킹 유형인 홈페이지 변조가 일어났다면 이미 웹서버가 해킹당해 악성코드가 홈페이지에 심어져있을 가능성도 높습니다.
홈페이지 해킹 유형 3. 디도스 공격
디도스 공격은 분산 서비스 거부(Distributed Denial of Service)공격이라고도 하는데요. 해커가 사전에 다른 사용자 컴퓨터를 대량으로 감염시켜 놓고 특정 홈페이지를 공격할 때 감염시켰던 많은 좀비 컴퓨터를 이용하여 타깃 웹서버에 비정상적으로 많은 요청 패킷을 보내 홈페이지 서비스 장애를 유발하는 공격입니다.
DDoS 공격에 대응하기 위해서 홈페이지 관리자는 웹서버와 방어 장비의 자원수준을 명확히 파악하고 지속적인 모니터링과 변화되는 공격유형에 대응하는 차단 정책을 적용하고 개선하는 작업을 지속적으로 해야 합니다.
이상 홈페이지 해킹 유형 3가지에 대해 알아보는 자리를 갖았습니다. 출처는 한국인터넷진흥원이 발행한 ‘웹서버 보안 안내서’입니다. 웹서버 보안을 잘 지키셔서 피해를 안당하시면 좋겠습니다. 행복하세요!!