참 대단한 신종 레퍼러 스팸 by 도아
신종 스팸
텍스트 큐브 관리 페이지에서 키워드를 클릭하면 잠깐 키워드 통계 페이지가 보이다가 바로 다른 사이트로 이동한다. 처음에는 블로그가 바이러스에 감염된 것이 아닌가 싶었다. 그러다가 키워드는 참조 URL로 부터 추출하며, 이 키워드를 보여 줄 때 사이트가 이동되는 것으로 봐서 키워드의 문제일 것으로 보고 소스 보기를 실행했다. 결과는 참조 URL을 이용해서 자동으로 사이트를 전환하는 신종 스팸이었다.
간담회에서 회자된 스팸
얼마 전 블로그코리아의 블로거 간담회에 참석했다가 스팸 댓글 때문에 상당히 많은 사람이 고생하고 있다는 소식을 들었다. 블로거 간담회에 가기전에 블로그를 확인해 봤지만 스팸 댓글은 없었고 스팸 트랙백이 조금 있어서 삭제한 기억이 있다. 그리고 나중에 확인해 보니 백업 블로그로 사용하고 있는 도아의 미투데이에 한 10여개의 스팸이 붙어 있는 것을 확인했다. 스팸을 확인하다 보니 예전에 블로그에 올린 번역 댓글 스팸이었다.
진화하는 스팸 댓글 시스템이라는 글에서 알 수 있듯이 스팸 댓글도 진화한다. 블로깅을 하면서 처음 발견한 스팸은 참조 URL 스팸이었다. 이 스팸은 단순히 참조 URL(레퍼러)만 남기는 스팸이지만 워낙 많은 참조 URL을 남겼기 때문에 한때는 이 스팸의 참조 URL이 레퍼러 순위 1위였던 때도 있었다.
그 뒤에 조금 이상한 댓글을 발견했다. 한글은 한글인데 도무지 이해할 수 없는 한글을 사용한 스팸이었다. 바로 진화하는 스팸 댓글 시스템에서 설명한 '번역 댓글 스팸'이었다. 이일로 스팸도 참 빠르게 진화하고 있다는 생각을 하게되었다. 그런데 오늘은 지금까지 나온 스팸보다 훨씬 강력하며 교묘한 스팸을 발견했다. 바로 키워드 통계를 이용해서 자신이 원하는 사이트로 강제로 접속하게 하는 스팸이었다.
그림을 보면 알 수 있지만 텍스트 큐브의 관리도구의 키워드 통계를 클릭하면 잠깐 키워드가 출력되고 이내 http://my-dom.info/라는 사이트로 이동한다. 처음에는 바이러스에 감염된 것이 아닌가 의심했지만 바이러스의 감염이 아니라 신종 스팸이었다.
진화하는 스팸
오늘 블로그에서 참조 URL을 확인하던 중 블로거뉴스로부터 상당히 많은 유입이 있는 것을 발견했다. 오늘 올린 글은 내가 쓴 글이 아니라 mepay님의 티베트를 점령한 중화주의는 "네이버와 닮아 있다."라는 글 뿐이었는데 이 글이 블로거뉴스에 오른 것이 아닌가 싶었다. 참조 URL을 클릭하자 의외로 며칠 전에 올린 백골단에 대한 추억이라는 글이 표시되었다.
이미 블로거뉴스 메인에 오르고 또 헤드라인까지 올랐던 백골단의 추억. 의외로 공감하는 사람이 많았다. 그리고 인터넷 곳곳에 백골단이 무엇인지 알리는 글로 링크되어 있다. 그런데 오늘 또 헤드라인 꼭지로 올랐다.
이 글이 다시 블로거뉴스에 오를 일은 없을 것 같아 블로거뉴스를 방문했다. 그런데 의외로 이 글은 오늘 헤드라인인 기초법질? 기초 치안부터 챙겨라라는 글의 꼭지로 붙은 것이었다. 예전에 이슈 트랙백에 전여옥, 표절도 노무현 탓!!!라는 글이 붙어서 하루에 만명 정도의 방문자가 있었던 기억이 있기 때문에 오늘도 꽤 많은 사용자가 유입될 것으로 생각했다.
기초법질? 기초 치안부터 챙겨라라는 헤드라인의 꼭지로 붙어있다. 또 오늘의 태그가 백골단이다. 그래서인지 모르겠지만 오늘도 상당히 많은 사람이 방문하고 있다.
이상한 키워드
이렇게 다음 블로거뉴스로 부터의 유입이 늘면 키워드가 현저하게 줄어들기 때문에 얼마정도의 키워드가 있는지 확인해 보기로 했다. 그런데 키워드 통계를 클릭하면 조금 이상한 현상이 발생했다.
위의 동영상에서 알 수 있듯이 키워드를 클릭하면 잠깐 키워드 통계 페이지가 보이다가 바로 다른 사이트로 이동한다. 처음에는 블로그가 바이러스에 감염된 것이 아닌가 싶었다. 그러다가 키워드는 참조 URL로 부터 추출하며, 이 키워드를 보여 줄 때 사이트가 이동되는 것으로 봐서 키워드의 문제일 것으로 보고 소스 보기를 실행했다. 결과는 참조 URL을 이용해서 자동으로 사이트를 전환하는 스팸이었다.
참조 URL에 자바 스크립트를 심었다. 그리고 통계 프로그램이 키워드를 추출하면 IFRAME 태그를 키워드에 출력할 수 있도록 한 것이다.
실제 키워드는 그림처럼 스팸까지만 출력한다. 그리고 바로 IFRAME 태그로 지정한 사이트로 이동한다. 원리는 간단하다. IFRAME 프레임에서 호출하는 프로그램(m.php)에 전환 기능을 넣어둔 것이다.
그림에서 보면 알 수 있지만 참조 URL에 자바스크립트 코드를 심어 두고 텍스트 큐브처럼 키워드 통계를 내는 프로그램이 키워드를 출력하면 IFRAME 태그를 이용해서 자동으로 my-dom.info
라는 사이트로 이동할 수 있도록 한 참조 URL 스팸이라는 것을 알 수 있다.
얼마 전 티스토리와 텍스트 큐브 사용자에게 다량의 번역된 스팸이 전달되었다. 텍스트 큐브 측에서는 이 스팸을 지우기위한 FryingPan이라는 플러그인까지 급히 내논 실정이다. 이 스팸은 앞에서 설명했듯이 진화하는 스팸 댓글 시스템에서 이미 언급한 스팸이었다. 그러나 오늘 발견한 스팸은 이 스팸에서 한단계 더 진화한 스팸이었다. 단순히 참조 URL만 남기는 수준이 아니라 키워드 통계 프로그램을 이용해서 자동으로 사이트를 전환하는 신종 스팸이었다.
텍스트 큐브 패치
이 스팸을 막기 위해서는 텍스트 큐브를 패치해야 한다. 아울러 티스토리 역시 이 스팸으로 인한 피해가 없도록 빠른 시일내에 패치해야 할 것으로 보인다.
- 좋아하는 편집기(예: Editplus)로
plugins\refererkeyword\index.php
파일을 연단. 코드를 '변경전'에서 '변경뒤'로 바꾼다. 바뀐 부분은 빨간색으로 표시했다. 바꾼다기 보다는 코드를 추가하는 것이다.
**변경전** $keywordkey = str_replace("\"", """,$keywordkeys[$i]); **변경뒤** $keywordkey = str_replace("\"", """,$keywordkeys[$i]); $keywordkey = strip_tags($keywordkey);
이렇게 바꾸면 키워드 통계 페이지가 그림처럼 IFRAME 태그가 제거된 상태에서 표시된 것을 알 수 있다.