리퍼러기록을 보면 페이지를 이동시켜버리는 리퍼러 스팸

최근 블로그툴의 “리퍼러 기록”을 보면 자동으로 광고페이지로 이동시켜 버리는 리퍼러 스팸이 활동하고 있습니다.


리퍼러 로그 페이지를 보면, 저렇게 깨지는 화면이 나옵니다.


그 다음 순간 약장사 페이지로 이동됩니다.

원리를 보자면, 리퍼러주소에 iframe 태그를 삽입하는 방법을 씁니다.


해당 스팸의 리퍼러 기록

예를 들어 저 광고의 경우

http://스팸광고사이트/search/results.html?query=Buy%20viagra%20for%20lowest%20prices
%20Buy%20viagra%20Online%20Now%20%3CIFRAME%20src%3D%2F%2Fmy-dom.info%2Fm.php
%3E&search.x=34&search.y=10&search=search

그림과 같이 리퍼러 주소가 마치 ‘검색엔진을 통해 검색해서 들어온것’처럼 구조가 꾸며져 있고, 검색어 부분에 iframe태그를 삽입해 놓았습니다. 그래서 리퍼러로그정리(RefererURLBeautifier) 플러그인 같은것으로 검색어를 표시하는 플러그인을 쓸경우 iframe에 삽입된 자바스크립트에 의해 리다이렉션을 당하게 됩니다.

해결법

RefererURLBeautifier 플러그인을 1.04이상으로 업데이트 합니다. 링크 1.04에서는 htmlspecialchars()함수로 키워드를 변환시켜서 iframe태그가 사실상 무력화 됩니다.

만약 버전업을 하지 못할 이유가 있거나 더 확실히 하고 싶다면 RefererURLBeautifier 플러그인의 index.php 파일을 열어

return ($keyword) ? ‘<span style=”font-weight: bold; color: #594″>[‘.$keyword.’]</span> ‘ . UTF8::lessenAsEm($url, 70 – UTF8::lengthAsEm($keyword)) : UTF8::lessenAsEm($url, 70);

위와 같은 return 이 이루어지는 바로 위에 strip_tags()함수로 html을 제거해줍니다.

$keyword = strip_tags($keyword);
return ($keyword) ? ‘<span style=”font-weight: bold; color:
#594″>[‘.$keyword.’]</span> ‘ . UTF8::lessenAsEm($url, 70 –
UTF8::lengthAsEm($keyword)) : UTF8::lessenAsEm($url, 70);

ps.
“리퍼러 기록”뿐 아니라 “키워드 통계”에서도 리다이렉션이 작동합니다.
이것도 응급조치로 refererkeyword 플러그인의 index.php를 열어서 147줄에       

document.write(unescape(“<?php echo $keywordkey;?>”));

document.write(unescape(“<?php $keywordkey = strip_tags($keywordkey); echo $keywordkey;?>”));

로 고쳐주면 해결됩니다.

추가

텍스트큐브용 공식 패치가 발표되었습니다.

글쓴이 : Draco (https://draco.pe.kr)
크리에이티브 커먼즈 라이선스 이 글은 CCL 저작자표시 3.0에 따라 원작자를 표시할 경우 자유롭게 이용할 수 있습니다.

You may also like...

17 Responses

  1. HaraWish 댓글:

    글 읽으면서 ‘세상에 별 스팸 다 있군.’했는데, 혹시나 해서 봤더니 제 블로그에도 오늘 붙어 있었네요. 미리 알려주신 덕분에 당황하지 않고 플러그인 업데이트를 했습니다. 감사합니다~

    • Draco 댓글:

      지금보니 “리퍼러 기록”뿐 아니라 “키워드 통계”에서도 스팸이 작동하는군요 -_-; 참 지능적인 스팸입니다.

  2. 아도니스 댓글:

    스패머들이 머리를 이런데 말고 좀 더 건설적인 곳에 썼다면 IT과학분야는 더더욱 발전했을거 같은 느낌이 듭니다.

    지금 이런 경우는 당하는 분 입장에선 씁쓸하겠지만, 처음 본 저로선 너무나 신선한데요.^^

    • Draco 댓글:

      그럴지도 모르겠습니다.

      하지만 항생제속에서 살아남는 세균이 더 강하다고 하잖아요. 스패머들이나 크래커들도 오히려 더 큰 보안문제를 예방하게 해주는 역할일지도 모르겠습니다. 아주아주 좋게 봐줄경우에요 -_-;

  3. inureyes 댓글:

    안녕하세요~ TNF의 inureyes 입니다.^^

    재빨리 대응책을 만들어서 금방 발표하도록 하겠습니다. 알려주셔서 감사합니다!

  4. Early Adopter 댓글:

    참…머리 잘쓰네요…ㅡㅡ;;;;

  5. 리넨 댓글:

    충격과 공포네요- _-); 세상에

  6. iF 댓글:

    전 처음에 티스토리 잘못인줄 알았죠;;; 빨리 해결됬으면 좋겠어요. 어떻게 수정하는지 몰라서;;

  7. 박경서 댓글:

    해결책, 고맙습니다. ^^

  1. 2008년 3월 20일 목요일

    텍스트큐브를 1.6.1로 업그레이드 하고 나서 스팸성 트랙백이 수십개 달려서 삭제했었다.그런데 이번엔 센터의 키워드 통계 페이지로 들어가면 바로 특정 사이트로 자꾸 이동되는 현상이 나타났다. -_-;http://my-dom.info/m.php <- 바로 이곳으로!페이지가 이동되기 직전에 잽싸게 페이지 로딩을 멈추고 봤더니, 아래와 같은 폼이 보였다.RefererLogs 테이블에서 iframe과 my-dom으로 검색해보니 두개의 항목이 나왔다....

  2. 2008년 3월 20일 목요일

    최근 며칠간 태터툴즈, 텍스트큐브의 관리자 키워드 통계에서 특정 광고 페이지로 이동을 유도하는 리퍼러 스팸이 발견되었습니다. 리퍼러 기록에서 추출된 검색어를 악용하는 스팸으로 판단되었으며 이러한 리퍼러 스팸을 차단할 수 있도록 수정된 플러그인 패치를 배포합니다. 문제가 발생하는 플러그인은 태터툴즈 1.1.x ~ 텍스트큐브 1.6.1 까지의 키워드 통계 플러그인과 리퍼러 로그 정리 플러그인입니다. 태터툴즈와 텍스트큐브를 사용하고 계신 분들은 반드시…