리퍼러기록을 보면 페이지를 이동시켜버리는 리퍼러 스팸

최근 블로그툴의 “리퍼러 기록”을 보면 자동으로 광고페이지로 이동시켜 버리는 리퍼러 스팸이 활동하고 있습니다.

리퍼러 로그 페이지를 보면, 저렇게 깨지는 화면이 나옵니다.

그 다음 순간 약장사 페이지로 이동됩니다.

원리를 보자면, 리퍼러주소에 iframe 태그를 삽입하는 방법을 씁니다.

해당 스팸의 리퍼러 기록

예를 들어 저 광고의 경우

http://스팸광고사이트/search/results.html?query=Buy%20viagra%20for%20lowest%20prices
%20Buy%20viagra%20Online%20Now%20%3CIFRAME%20src%3D%2F%2Fmy-dom.info%2Fm.php
%3E&search.x=34&search.y=10&search=search

그림과 같이 리퍼러 주소가 마치 ‘검색엔진을 통해 검색해서 들어온것’처럼 구조가 꾸며져 있고, 검색어 부분에 iframe태그를 삽입해 놓았습니다. 그래서 리퍼러로그정리(RefererURLBeautifier) 플러그인 같은것으로 검색어를 표시하는 플러그인을 쓸경우 iframe에 삽입된 자바스크립트에 의해 리다이렉션을 당하게 됩니다.

해결법

RefererURLBeautifier 플러그인을 1.04이상으로 업데이트 합니다. 링크 1.04에서는 htmlspecialchars()함수로 키워드를 변환시켜서 iframe태그가 사실상 무력화 됩니다.

만약 버전업을 하지 못할 이유가 있거나 더 확실히 하고 싶다면 RefererURLBeautifier 플러그인의 index.php 파일을 열어

return ($keyword) ? ‘<span style=”font-weight: bold; color: #594″>[‘.$keyword.’]</span> ‘ . UTF8::lessenAsEm($url, 70 – UTF8::lengthAsEm($keyword)) : UTF8::lessenAsEm($url, 70);

위와 같은 return 이 이루어지는 바로 위에 strip_tags()함수로 html을 제거해줍니다.

$keyword = strip_tags($keyword);
return ($keyword) ? ‘<span style=”font-weight: bold; color:
#594″>[‘.$keyword.’]</span> ‘ . UTF8::lessenAsEm($url, 70 –
UTF8::lengthAsEm($keyword)) : UTF8::lessenAsEm($url, 70);

ps.
“리퍼러 기록”뿐 아니라 “키워드 통계”에서도 리다이렉션이 작동합니다.
이것도 응급조치로 refererkeyword 플러그인의 index.php를 열어서 147줄에

document.write(unescape(“<?php echo $keywordkey;?>”));

를

document.write(unescape(“<?php $keywordkey = strip_tags($keywordkey); echo $keywordkey;?>”));

로 고쳐주면 해결됩니다.

추가

텍스트큐브용 공식 패치가 발표되었습니다.

글쓴이 : Draco (https://draco.pe.kr)

이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.

댓글 17개

핑백: 텍스트큐브 공지사항
박경서 댓글:

2008년 3월 20일 목요일, 03시 52분

해결책, 고맙습니다. ^^

응답
1. Draco 댓글:
  
  2008년 3월 20일 목요일, 06시 03분
  
  읽어주셔서 감사합니다.
  
  응답
핑백: Kyungseo's Blog
iF 댓글:

2008년 3월 19일 수요일, 23시 22분

전 처음에 티스토리 잘못인줄 알았죠;;; 빨리 해결됬으면 좋겠어요. 어떻게 수정하는지 몰라서;;

응답
1. Draco 댓글:
  
  2008년 3월 20일 목요일, 06시 03분
  
  설치형은 사용자가 대처할 수 있지만, 서비스형은 그게 문제군요.
  
  응답
리넨 댓글:

2008년 3월 19일 수요일, 22시 03분

충격과 공포네요- _-); 세상에

응답
1. Draco 댓글:
  
  2008년 3월 20일 목요일, 06시 02분
  
  그래도 위험한 페이지나 스크립트는 아니라서 다행입니다.
  
  응답
Early Adopter 댓글:

2008년 3월 19일 수요일, 15시 17분

참…머리 잘쓰네요…ㅡㅡ;;;;

응답
1. Early Adopter 댓글:
  
  2008년 3월 19일 수요일, 15시 26분
  
  지금 보니 저도 있네요…;;;
  티스토리는 방법이 없는건가요?
  
  응답
2. Draco 댓글:
  
  2008년 3월 19일 수요일, 16시 32분
  
  티스토리는 어찌해야 할지 잘 모르겠네요 ^^;
  
  응답
inureyes 댓글:

2008년 3월 19일 수요일, 15시 17분

안녕하세요~ TNF의 inureyes 입니다.^^

재빨리 대응책을 만들어서 금방 발표하도록 하겠습니다. 알려주셔서 감사합니다!

응답
1. Draco 댓글:
  
  2008년 3월 19일 수요일, 16시 31분
  
  빠른 대응 감사드립니다.
  
  응답
아도니스 댓글:

2008년 3월 19일 수요일, 14시 37분

스패머들이 머리를 이런데 말고 좀 더 건설적인 곳에 썼다면 IT과학분야는 더더욱 발전했을거 같은 느낌이 듭니다.

지금 이런 경우는 당하는 분 입장에선 씁쓸하겠지만, 처음 본 저로선 너무나 신선한데요.^^

응답
1. Draco 댓글:
  
  2008년 3월 19일 수요일, 16시 31분
  
  그럴지도 모르겠습니다.
  
  하지만 항생제속에서 살아남는 세균이 더 강하다고 하잖아요. 스패머들이나 크래커들도 오히려 더 큰 보안문제를 예방하게 해주는 역할일지도 모르겠습니다. 아주아주 좋게 봐줄경우에요 -_-;
  
  응답
HaraWish 댓글:

2008년 3월 19일 수요일, 13시 43분

글 읽으면서 ‘세상에 별 스팸 다 있군.’했는데, 혹시나 해서 봤더니 제 블로그에도 오늘 붙어 있었네요. 미리 알려주신 덕분에 당황하지 않고 플러그인 업데이트를 했습니다. 감사합니다~

응답
1. Draco 댓글:
  
  2008년 3월 19일 수요일, 16시 29분
  
  지금보니 “리퍼러 기록”뿐 아니라 “키워드 통계”에서도 스팸이 작동하는군요 -_-; 참 지능적인 스팸입니다.
  
  응답

댓글 달기 응답 취소

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.

Draco on 기상청 API가 얼마나 ㅈ같냐면: “방문 감사드립니다. 맞습니다. 해외 날씨 앱 만드는 것이 더 쉽긴 해요. 기상청 API는 사용자를 전혀 고려하지 않고 자기들 데이터 형식대로…”
기상청 정말 최악이야 on 기상청 API가 얼마나 ㅈ같냐면: “ㅈ같다는 말에 마음 깊이 공감하고 갑니다. 위도, 경도도 아니고 격자 좌표에 헛웃음이 나오네요. 한국에서 미국 날씨 앱 만드는게 더 쉬울꺼…”
Draco on 우유에 밥말아 먹기.: “안녕하세요. 잘지내고 있어요. 현아씨도 잘 계신가요? ㅎㅎㅎ유연씨도 티몬 피해자시군요. 평소에 할인정보 잘 알던 사람이면 당했을듯 ㅋㅋ”
이현아 on 우유에 밥말아 먹기.: “영찬과장님 잘지내시죠~~~? 아침에 구글에서 대성디폴리스 쳐서 검색하다가 과장님 아이디가 보여서 놀러왔어요! 티몬에 당하셨네요… 유연씨도 당했답니다… 저런….”
Draco on 동서가구 (주)바스포르 의 ㅈ같은 배송 시스템: “저도 도와드릴 방법은 잘 모르겠습니다.”