참 대단한 신종 레퍼러 스팸

얼마 전 블로그코리아에 참석했다가 스팸 댓글 때문에 상당히 많은 사람이 고생하고 있다는 소식을 들었다. 블로거 간담회에 가기전에 블로그를 확인해 봤지만 스팸 댓글은 없었고 스팸 트랙백이 조금 있어서 삭제한 기억이 있다. 그리고 나중에 확인해 보니 백업 블로그로 사용하고 있는 도아의 미투데이에 한 10여개의 스팸이 붙어 있는 것을 확인했다. 스팸을 확인하다 보니 예전에 블로그에 올린 번역 댓글 스팸이었다.

진화하는 스팸 댓글 시스템이라는 글에서 알 수 있듯이 스팸 댓글도 진화한다. 블로깅을 하면서 처음 발견한 스팸은 참조 URL 스팸이었다. 이 스팸은 단순히 참조 URL(레퍼러)만 남기는 스팸이지만 워낙 많은 참조 URL을 남겼기 때문에 한때는 이 스팸의 참조 URL이 레퍼러 순위 1위였던 때도 있었다.

그 뒤에 조금 이상한 댓글을 발견했다. 한글은 한글인데 도무지 이해할 수 없는 한글을 사용한 스팸이었다. 바로 진화하는 스팸 댓글 시스템에서 설명한 '번역 댓글 스팸'이었다. 이일로 스팸도 참 빠르게 진화하고 있다는 생각을 하게되었다. 그런데 오늘은 지금까지 나온 스팸보다 훨씬 강력하며 교묘한 스팸을 발견했다. 바로 키워드 통계를 이용해서 자신이 원하는 사이트로 강제로 접속하게 하는 스팸이었다.

그림을 보면 알 수 있지만 텍스트 큐브의 관리도구의 키워드 통계를 클릭하면 잠깐 키워드가 출력되고 이내 http://my-dom.info/라는 사이트로 이동한다. 처음에는 바이러스에 감염된 것이 아닌가 의심했지만 바이러스의 감염이 아니라 신종 스팸이었다.

오늘 블로그에서 참조 URL을 확인하던 중 로부터 상당히 많은 유입이 있는 것을 발견했다. 오늘 올린 글은 내가 쓴 글이 아니라 mepay님의 티베트를 점령한 중화주의는 "네이버와 닮아 있다."라는 글 뿐이었는데 이 글이 블로거뉴스에 오른 것이 아닌가 싶었다. 참조 URL을 클릭하자 의외로 며칠 전에 올린 백골단에 대한 추억이라는 글이 표시되었다.

이미 블로거뉴스 메인에 오르고 또 헤드라인까지 올랐던 백골단의 추억. 의외로 공감하는 사람이 많았다. 그리고 인터넷 곳곳에 백골단이 무엇인지 알리는 글로 링크되어 있다. 그런데 오늘 또 헤드라인 꼭지로 올랐다.

이 글이 다시 블로거뉴스에 오를 일은 없을 것 같아 블로거뉴스를 방문했다. 그런데 의외로 이 글은 오늘 헤드라인기초법질? 기초 치안부터 챙겨라라는 글의 꼭지로 붙은 것이었다. 예전에 이슈 트랙백에 전여옥, 표절도 노무현 탓!!!라는 글이 붙어서 하루에 만명 정도의 방문자가 있었던 기억이 있기 때문에 오늘도 꽤 많은 사용자가 유입될 것으로 생각했다.

기초법질? 기초 치안부터 챙겨라라는 헤드라인의 꼭지로 붙어있다. 또 오늘의 태그가 백골단이다. 그래서인지 모르겠지만 오늘도 상당히 많은 사람이 방문하고 있다.

이렇게 다음 블로거뉴스로 부터의 유입이 늘면 키워드가 현저하게 줄어들기 때문에 얼마정도의 키워드가 있는지 확인해 보기로 했다. 그런데 키워드 통계를 클릭하면 조금 이상한 현상이 발생했다.

위의 동영상에서 알 수 있듯이 키워드를 클릭하면 잠깐 키워드 통계 페이지가 보이다가 바로 다른 사이트로 이동한다. 처음에는 블로그가 바이러스에 감염된 것이 아닌가 싶었다. 그러다가 키워드는 참조 URL로 부터 추출하며, 이 키워드를 보여 줄 때 사이트가 이동되는 것으로 봐서 키워드의 문제일 것으로 보고 소스 보기를 실행했다. 결과는 참조 URL을 이용해서 자동으로 사이트를 전환하는 스팸이었다.

참조 URL에 자바 스크립트를 심었다. 그리고 통계 프로그램이 키워드를 추출하면 IFRAME 태그를 키워드에 출력할 수 있도록 한 것이다.

실제 키워드는 그림처럼 스팸까지만 출력한다. 그리고 바로 IFRAME 태그로 지정한 사이트로 이동한다. 원리는 간단하다. IFRAME 프레임에서 호출하는 프로그램(m.php)에 전환 기능을 넣어둔 것이다.

그림에서 보면 알 수 있지만 참조 URL에 자바스크립트 코드를 심어 두고 텍스트 큐브처럼 키워드 통계를 내는 프로그램이 키워드를 출력하면 IFRAME 태그를 이용해서 자동으로 my-dom.info라는 사이트로 이동할 수 있도록 한 참조 URL 스팸이라는 것을 알 수 있다.

얼마 전 사용자에게 다량의 번역된 스팸이 전달되었다. 텍스트 큐브 측에서는 이 스팸을 지우기위한 FryingPan이라는 플러그인까지 급히 내논 실정이다. 이 스팸은 앞에서 설명했듯이 진화하는 스팸 댓글 시스템에서 이미 언급한 스팸이었다. 그러나 오늘 발견한 스팸은 이 스팸에서 한단계 더 진화한 스팸이었다. 단순히 참조 URL만 남기는 수준이 아니라 키워드 통계 프로그램을 이용해서 자동으로 사이트를 전환하는 신종 스팸이었다.

이 스팸을 막기 위해서는 텍스트 큐브를 패치해야 한다. 아울러 티스토리 역시 이 스팸으로 인한 피해가 없도록 빠른 시일내에 패치해야 할 것으로 보인다.

  1. 좋아하는 편집기(예: Editplus)로 plugins\refererkeyword\index.php 파일을 연단.
  2. 코드를 '변경전'에서 '변경뒤'로 바꾼다. 바뀐 부분은 빨간색으로 표시했다. 사실 바꾼다기 보다는 코드를 추가하는 것이다.

    **변경전**
    $keywordkey = str_replace("\"", """,$keywordkeys[$i]);
    
    **변경뒤**
    $keywordkey = str_replace("\"", """,$keywordkeys[$i]);
    $keywordkey = strip_tags($keywordkey);
    

이렇게 바꾸면 키워드 통계 페이지가 그림처럼 IFRAME 태그가 제거된 상태에서 표시된 것을 알 수 있다.

관련 글타래

2008/03/20 15:48 2008/03/20 15:48
글쓴이
author image
운영체제의 모든 것을 운영하고 있는 IT 블로거. IT 블로거라는 이름은 현재 시국때문에 시사 블로거로 바뀐 상태다. 그러나 나는 아직도 시사와 사회에 관심이 많은 IT 블로거일 뿐이다. 컴퓨터, 운영체제, 시사, 가족, 여행, 맛집, 리뷰등과 살면서 느끼는 소소한 일상이 블로그의 주제이다. 왼쪽의 아이콘은 둘째 딸 다예가 그린 내 모습이다.
오늘의 글
인기있는 글
조회수 많은 글 | 베오베
댓글 많은 글 | 베오베

Trackback

Trackback Address :: https://offree.net/trackback/1564

  1. Subject : 테러급 광고 방명록에 울컥하고 싶구나~

    Tracked from 개념제로 2008/03/20 17:40 del.

    나를 죽이려는 어떤녀석의 음모 http://www.mmgostop.cn/ 똑같이 한 만큼 DoS공격을 줘야 정신을 차릴것 같군요.. 에휴.. 말세구나.. 이걸 언제 지울까.. 웹툰 못 올린거 죄송합니다.. 목요일에는 꼭 올릴

  2. Subject : 신종 리퍼러 스팸.

    Tracked from LABORATORY 2008/03/20 19:59 del.

    크리에이티브 커먼즈 라이센스이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다. --> 오늘도 기분좋게 저녁을

  3. Subject : 텍스트큐브,태터툴즈 리퍼러 스팸 관련 패치 안내

    Tracked from 텍스트큐브 공지사항 2008/03/20 20:42 del.

    최근 며칠간 태터툴즈, 텍스트큐브의 관리자 키워드 통계에서 특정 광고 페이지로 이동을 유도하는 리퍼러 스팸이 발견되었습니다. 리퍼러 기록에서 추출된 검색어를 악용하는 스팸으로 판단?

  4. Subject : 부정한 iFrame 삽입에 의한 스팸

    Tracked from Kyungseo's Blog 2008/03/22 01:15 del.

    텍스트큐브를 1.6.1로 업그레이드 하고 나서 스팸성 트랙백이 수십개 달려서 삭제했었다.그런데 이번엔 센터의 키워드 통계 페이지로 들어가면 바로 특정 사이트로 자꾸 이동되는 현상이 나타?

  5. Subject : 레퍼러 스팸

    Tracked from How's life? 2008/08/29 23:14 del.

    블로그를 하는 사람들이 블로그를 하면서 느끼는 보람 중에 하나는.. 자신이 포스트한 글을 많은 사람들이 와서 보는 것이다.. 나는 블로그를 시작한지 얼마되지 않았고.. 가지고 있는 전문적인

Facebook

Comments

  1. 가눔 2008/03/20 16:50

    헉~~이런 스팸도 생겼군요.ㄷㄷ 아직 티스토리에는 별 소식이 없던데 잘하면 또 난리나겠네요.--;
    얼른 패치해야할텐데....킁..

    perm. |  mod/del. reply.
    • 도아 2008/03/20 18:47

      예... 저런 스팸이 다수 들어온다면 정말 문제가 될 것 같더군요. 통계 페이지는 아예 보지를 못하니...

  2. 푸른하늘 2008/03/20 17:00

    도아님 독분에 진상을 파악했으니... 대응책이 나오겠죠. 저 같은 범인들은 그저 고마울 뿐입니다~ㅎㅎ

    perm. |  mod/del. reply.
    • 도아 2008/03/20 18:47

      패치만 하면 되기 때문에 텍스트 큐브는 별 문제가 없습니다. 문제는 티스토리죠.

  3. 공상플러스 2008/03/20 17:39

    이런 썩을놈의 스팸

    제일제당은 왜 수입했는지 몰라요

    저도 테러당했는데..ㅠㅠ

    perm. |  mod/del. reply.
    • 도아 2008/03/20 18:47

      그러게요. 스팸말고도 CJ가 쇠고기 통조림도 수입하고 있죠.

  4. Prime's 2008/03/20 19:50

    방금 확인해본결과, 저도 당했습니다.ㅋ

    perm. |  mod/del. reply.
    • 도아 2008/03/20 20:34

      저도 당했다고 해서 무슨 뜻인가 했습니다. 요즘은 이 스팸이 극성을 부리는 것 같군요.

  5. 나비 2008/03/20 19:52

    아이프레임 이용해서는...짜증나게 하더군요..-_- db접속해서 지우긴 했지만...
    이런식으로 나오는 걸 보면 상대는 텍큐를 알고 있다는 것 같습니다. 지능적으로 나오네요 점점..;;
    그나저나 위에 오타 나신 것 같습니다. 박스로 둘러싼 코드 위에 이름이 둘 다 '변경전'이네요.

    perm. |  mod/del. reply.
    • 도아 2008/03/20 20:35

      텍스트큐브를 몰라도 됩니다. 보통 키워드 통계는 레퍼러를 이용해서 내는데 레퍼러를 이용해서 통계를 내는 프로그램은 모두 다 해당이 됩니다. 따라서 제 패치는 이런 키워드에 태그를 사용할 수 없도록 패치한 것입니다.

  6. goohwan 2008/03/20 21:23

    우왕~ 무서운 스팸이군요...
    안그래도 레퍼러 남기고 가는 것들 정말 싫었는데 ^^;;
    키워드 클릭 만으로 자신의 싸이트에 오게 하다니..
    기발한 머리네요 ㅎ~

    perm. |  mod/del. reply.
    • 도아 2008/03/21 10:02

      예... 기발합니다. 통계 데이타가 나오면 바로 이동하기 때문에 모르는 사람은 계속 당할 수 밖에 없는 스팸입니다. 다행이 어제 패치가 올라왔더군요.

  7. 이정일 2008/03/20 22:48

    제 티스토리는 아직 무사합니다.
    다행이군요.

    perm. |  mod/del. reply.
  8. 조리지기 2008/03/20 23:13

    도아님 덕에 방금 파일수정 했습니다.
    텍스트큐브 공식 홈페이지에도 패치가 뜨긴했네요.

    스팸은 나날이 지능화 되고 발전(?)되어 가는군요...

    perm. |  mod/del. reply.
    • 도아 2008/03/21 10:03

      예. 저도 텍스트 큐브에 트랙백을 건 뒤에 알았습니다. 패치는 태그를 제거하는 것이 아니라 HTML 문자를 코딩하는 방법으로 처리했더군요.

  9. Mr.Dust 2008/03/20 23:34

    금일 텍스트큐브로 왔습니다. 2006년도에 태터 클래식 이후 처음(사실 다른 사이트 때문에 몇 번 깔긴 했지만)인 듯하네요. 정신도 없고.. 뭔 놈의 플러그인이 그렇게 많은지..

    뭐 여튼.. 대강 스킨 정리하고 놀러왔더니 이런 소식이..
    으.. 또 패치하러 가야하나.. ;; 여튼 앞날이 깜깜하네요. 티스토리 시절엔 이런거 별로 신경안써도 되는게 좋았는데.. ;;

    perm. |  mod/del. reply.
    • 도아 2008/03/21 10:04

      무럽습니다. 트래픽 용량 무제한, 다음 트래픽 폭탄도 견딜 수 있을까요? 견딜 수 있다면 저도 세들어 살아 보게요.

  10. 작은인장 2008/03/21 00:49

    전 스팸리퍼러 남기는 것이 싫어서 통계를 아예 작동시키지 않고 있어요. -_-
    전에 저도 한 번 말씀드린 적이 있지만, 리퍼러도 스팸필터링 해야 한다고 생각해요. -_-
    물론 몇몇 소스로부터 대량으로 들어오는 경우가 훨씬 더 빈번하니 스팸필터링이 더 어렵겠죠. -_-

    perm. |  mod/del. reply.
    • 도아 2008/03/21 10:04

      레퍼러도 필터링 해야 합니다. 레퍼러 스팸도 만만치 않으니까요. 저는 .htaccess를 이용해서 필터링하고 있습니다.

  11. Buzz 2008/03/21 09:47

    도아님의 해당 포스트가 3/21일 버즈블로그 메인 탑 헤드라인으로 링크되었습니다.

    perm. |  mod/del. reply.
  12. usansf 2008/03/22 13:51

    요즘 스팸의 진화 속도가 다르게 발전 했네요,,,

    이상한 스팸이 안 나왔으면 좋겠습니다.
    블로그 관리를 짜증나게 하니...

    perm. |  mod/del. reply.
    • 도아 2008/03/23 09:30

      예.스팸도 점점 진화하기 때문에... 방법이 없는 것 같더군요.

  13. 댕글댕글파파 2008/03/23 03:05

    저는 테터툴즈라서 그런지 스팸이 안 걸리더군요. -_-;;
    근래에 엉성한 한글로 스팸댓글은 세네개 있긴 하던데 ㅎㅎ

    perm. |  mod/del. reply.
    • 도아 2008/03/23 09:30

      태터툴즈와 무관하게 참조 URL로 키워드를 내는 모든 통계 프로그램에 적용되는 스팸입니다. 따라서 그런 스팸이 오지 않았다면 운이 좋으신 것 같습니다. 최근에 급작스레 는 스팸이더군요.

  14. smartjoker 2008/08/29 23:13

    티스토리 블로거인데요.. 티스토리도 레퍼러 스팸이 있네요..
    유입경로 살피다가 이상했는데.. 레퍼러 스팸이라는거 오늘 첨 알았습니다..
    글 잘 읽고 갑니다.. 즐거운 하루 되세요.. ^^

    perm. |  mod/del. reply.
    • 도아 2008/08/30 09:13

      레퍼러 스팸은 모든 서비스에 다 있습니다. 티스토리도 있는 것이 아니라요. 다만 통계를 보지 않으면 당할일이 없는 스팸입니다.

댓글로 기쁨을 나눠요!

(옵션: 없으면 생략)

글을 올릴 때 [b], [i], [url], [img]와 같은 BBCode를 사용할 수 있습니다.