| CMS/프레임워크 | Rhymix 2.1 |
|---|---|
| 개발 언어 | PHP 7.4 |
한동안 라이믹스 업데이트만 간간히 해주고 거이 방치했더만 구글 애드샌스 광고 아이디가 제것이 아닌 다른 것으로 변조된 듯 합니다.
변조 의심되는 스크립트 :
<script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-1234567890123456" crossorigin="anonymous"></script>
*위에 1234546...456으로 끝나는 보기에도 비상식 적인 번호는 제 애드센스 번호가 아닙니다.
살펴보기 시작한 계기는 카카오톡 링크를 타고 카카오 인앱 브라우저로 열린 웹페이지에 "카카오톡 앱의 현재 접속한 페이지 내 보안인증서 문제가 있는 콘텐츠를 차단했습니다" 란 경고 메세지가 출력되 이상기후가 느껴져 사이트에 혹 보안인증 되지않은 이미지나 파일 링크가 걸린게 있나 살펴보다 그누보드 사용자 분 중 구글 애드센스 광고의 아이디가 변조되었다는 글을 보고 제 사이트의 애드센스 광고들을 조사해 보니 일부 게시판에 상하 목록으로 삽입되었던 광고의 아이디가 위와 같이 변조된 사실을 발견 했거든요,
위젯이나 레이아웃에 삽입된 광고는 변조가 없는 것으로 보아 게시판(스케치북5 스킨)의 권한 을 우회하여 뭔가 비 정상적인 파일 첨부나 html 에디터를 이용해 해킹을 시도한 것이 아닌가 짐작만 하고 있습니다.
일단은 변조된 스크립트 아이디 번호를 제 번호로 모두 바꾸기만 하고 지켜보는 중입니다 (1회성이 아닌 지속적인 해킹툴을 심어 놓은 것이라면 또 변조 되겠지요;;;;)
손에 잡히는 할수있는 방법으로 파일권한이나 게시판의 html 사용 권한등을 한번 다시 살펴 봐야겠어요
제 사이트의 소유자 / 디텍토리 / 파일 권한은
D 775 F 664 files 폴더 권한만 777 로 되어있고 소유자는 http로 설정되 있습니다.
혹시 구글 애드센스 광고 해킹의 원리와 해킹툴에 대한 지식이나 경험이 있으신 분들 계실까요?
어디서 무었을 손봐야 하는 지 막막 하기만 해서 질문을 드려 봅니다 회원님들...
댓글 5
애드센스 코드가 어디에 입력되어 있었는지부터 분명히 알려 주셔야 할 것 같습니다.
게시판 스킨(스케치북5) 소스에 넣어 놓으셨나요?
→ FTP 계정 해킹, 또는 소스를 변조하는 악성코드 감염
→ 어떤 형태로든 파일 수정 또는 업로드를 지원하는 서드파티 자료가 있다면 매의 눈으로 살펴보셔야 합니다.
아니면 게시판 설정의 헤더 스크립트 등, 관리자 화면에서 변경할 수 있는 곳에 넣어 놓으셨나요?
→ 관리자 계정 해킹
원래 있던 곳의 소스나 설정을 원상복구하니 모든 광고가 정상으로 돌아왔나요?
→ 원래 있던 곳 외에 애드센스 코드가 더 추가되지는 않았는지 확인
먼저 질문에 답글에 무한 감사 를 앞서 드립니다
구글 애드샌스 광고는
1.메인 위젯 페이지의 위젯 설정시 직접 넣었고
2.관리자 페이지 레이아웃 디자인 설정의 위젯 설정에서 커스텀 위젯 설정으로 상하단 넣었으며
3.게시판의 설정으로 들어가 상,하단에 넣었습니다.
*기억으로는 게시판 설정 위젯들 위주로 변조가 된듯 하긴한데 지금 생각해보니 메인 위젯 페이지의 위젯도 변조가 된듯도 했던 것 같기도 하고;;;;
희안한건 따로 레이아웃을 두어 돌렸던 블로그 페이지의 레이아웃이나 로그북 게시판 등의 광고는 또 변조가 없었던 걸 보면 메인으로 사용중인 스케치북 스타일 레이아웃이 공격 당한것 같기도 하고...
지금 현제는 일단 구글 애드센스 계정에서 광고 아이디를 다시 받아와 모두 바꿔놓고 변조가 또 생기나 지켜보고 있습니다..
그리고 메일 인증 없던 미 인증 회원들은 모두 탈퇴시킨 상태입니다.
그리고 수시로 관리자 계정 로그 기록도 살펴보긴 하는데 언제 변조가 있었던 건지 워낙 방치했던 페이지라...
그리고 관리는 거의 서버와 동일 네트워크 안에서 하고 있어서 라우터 아이피 외에 페이지 접근 로그는 보이질 않고 있긴 합니다.
새벽에 작업해 놨는데 아직까진 변조가 이뤄지진 않은 걸 봐선 해킹툴이 설치되 자동 변조 작업을 하고 있는 것 같진 않기도 하고... 좀 더 이부분은 추이를 지켜봐야 할것 같아요 기진곰 님
위젯 페이지나 레이아웃 설정도 소스 편집 없이 관리자 권한으로 수정할 수 있는 부분이니, 누군가가 관리자 권한을 사용해서 멋대로 수정했다고 보는 것이 가장 합리적이겠습니다.
만약 관리자가 한 명뿐이라면 그 아이디/비번이 유출되었거나 해킹당한 것이고, 만약 평소에 쓰지 않는 다른 관리자 계정이 있다면 그 계정이 문제일 수도 있습니다. 테스트용이나 외부 개발자 작업용으로 test 1234 이렇게 만들어 놓고 잊어버리는 분들을 종종 봅니다.
내 예의 주시해서 살펴보겠습니다.일단 관리자 계정으로 로그인을 하면 로그기록 에서 볼수있는데 ftp(ssh 는 잠겨있고 필요시에만 열어 사용합니다;;;) 등으로 접속하면 라이믹스 로그기록엔 안 남겠지만 http 관리 계정이 아닌 서버 관리 계정이라 알림과 메일이 오며 점근 ip기록이 되니 지켜봐야 겠네요.. 만일 해킹툴이 잠복해 있다면 로그 기록 없이 또 다른 변조가 일어나겠죠?
일회성 해킹 이면 좋으련만 ....주시하며 살펴보고 또 다른 변조나 로그 기록이 욜라오나 지켜보려 합니다 기진곰님... 언제나 회원들 질몬에 관심을 주시고 해결해 주시니 항상 감사하게 생각합니다 편안밤 되세요...
음.. 저는 서버 전문가는아니라서. 해킹 자체에 대해서는 도움 드릴만한것이 없지만...
이미 알고 계실수도 있지만..혹 모르시는 분들을 위해서..
애드센스는 기본적으로 3가지가 일치해야지만 정상적인 광고로 인식을 합니다.
1. 애드센서 유저는 각각 고유의 코드 번호를 부여 받습니다.
현재 client=ca-pub-1234567890123456 이런식으로
본인 애드센스 식별 코드와 같지 않은것을 확인하시고
해킹을 발견 혹은 의심하고 계신것으로 보입니다.
위와 같이 아무 사이트에나
내 애드센스 광고 코드를 넣어서 수익을 발생시킬수 있던 때가 있었습니다.
다만 위 해킹 사건과 같은 식의 사건이 많아서인지...
최근에는(몇년전인지 기억이잘...)
서버 최 상위 디렉토리(/)에
2. ads.txt라는 파일을 삽입해야 한다는 규정이 생겼습니다.
위 파일 목록에 있는 사람의 애드센스 광고 코드만
현재 사이트에서 광고를 진행하고 있다는것을 명시적으로 적어둔 문서 파일입니다.
즉, XE이던 라이믹스이던 어떤식의 해킹으로 인하여
XE 혹은 라이믹스 파일이 해킹 공격자의 애드센스 코드로 변조 된다고 하더라도
제가 위에 언급한 ads.txt 파일을 변조하지 못할경우.
사용자 일치가 일어나지 않아서 정상적인 수익 지급이 되지 않는것으로 알고 있습니다.
(강제 사항은 아니며 위 파일이 존재 한다면 비교를 하도록 되어 있습니다.
없어도 일반적인 수익에는 문제가 없을수 있지만.
애드센스 수익감소 관련 경고가 지속적으로 나옵니다.
경우에 따라서는 광고 송출 중단까지 시행되는 경우도 있으니
위와 같은 해킹건의 진행을 지켜보실때 꼭 설정해두시기 추천 드립니다.)
또한
애드센스 계정에 로그인을 해보시면
3. 사이트 관리(?)라는 메뉴를 통하여
내 광고 코드가 1회 혹은 다수 노출된 사이트명(도메인) 명들을 확인하고
내가 운영하는 사이트가 맞음을 확인하고 곳이 있습니다.
(이건 이번 해킹과 거꾸로.. 남의 애드센스 계정을 정지 시킬 목적으로
아무 사이트에나 해당 애드센스 광고 코드를 걸어 두고
불법 사이트 및 성인 사이트 혹은 부정클릭을 유발하여 정책 위반을 유발하는 행위)
결론적으로
애드센스 광고 코드 + ads.txt + 애드센스 내 사이트 관리 메뉴
위 3개가 일치해야지만 정상적인 수익 지급이 이루어집니다.
거꾸로 이야기 하면
현재 라이믹스 변조 부분만 확인하실것이 아니라
위 3가지를 모두 확인하시는 절차를 거치셔야 할듯합니다.
아울러.
해킹으로 의심되는 광고 코드는 구글 애드센스 쪽에 신고를 하시면
가능성은 낮겠지만 해킹사례로 증명이 된다면
실 수익은 사이트 소유주인 질문자님께 되돌아 올수도 있을듯 합니다.
조금이나마 도움이 되셨으면 합니다.
긴글 읽어 주셔서
감사합니다.