스펨메일 안내멘트

2014.02.19 11:52

소울 조회 수:4682

발송하신 메일이 네이버에 정상적으로 수신되지 않고 서버에서 아래와 같은 리턴 메시지를 확인하신다면,

현재 이용하시고 계시는 웹서버의 보안 취약점을 점검해보실 필요가 있습니다.

 

발송하신 IP에서 불법적이고, 불건전한 내용이 포함된 메일(도박, 성인스팸)이 네이버 회원에게 수신되어

 회원들의 신고로 발송IP가 차단된 경우가 대부분입니다.

 

운영하시고 있는 서버에서 스팸을 전혀 발송하지 않음에도 불구하고 네이버에 스팸이 수신되는 까닭은

 운영하고 계시는 홈페이지 게시판의 보안 취약점을 스패머가 악용하여 스팸메일을 발송하기 때문입니다.

 

로그 분석 시 주의하실 점은 SMTP 로그가 아닌 웹서버의 Acces 로그를 분석하셔야 합니다.

이 문제는 스패머가 메일서버가 아닌 웹서버의 보안 취약점을 이용하는 것이기 때문에

SMTP 로그는 문제를 해결하는 것과는 관련이 없습니다.

 

 * 확인방법

 운영하시는 사이트의 게시판에서 아래 2가지가 가능하다면 스패머가 스팸을 발송할 수 있습니다.

 

1. 첨부파일에 이미지, 문서 파일 뿐만 아니라 php, asp, pl, sh, jsp 등의 코드형태의 파일도 업로드가 가능한가?

 

2. http를 통해서 첨부파일에 있는 파일이 실행이 가능한가?

 

만약 위 2가지가 가능하다면, 스패머는 스팸발송코드를 첨부파일로 만들어 게시판에 업로드 후

 스패머가 브라우저와 같은 곳에서 URL 접근을 통해 스팸을 발송할 수 있게 됩니다.

위와 같은 보안취약점은 바이러스 점검으로는 발견할 수 없으며 치료가 되지 않습니다.

 

 * 조치방법

1. 서버에서 게시판의 첨부파일이 저장된 디렉토리의 파일내역 확인

 디렉토리내에 단순 이미지 파일 등의 첨부 파일이 아닌 php, asp, pl, sh, jsp 등의 코드 파일이 있다면 삭제하셔야 하며

 이미지, 동영상, 문서 등의 파일만 첨부파일로 허용하는 것이 좋습니다.

 

2. 웹서버를 통해서는 코드가 첨부되더라도 실행할 수 없도록 설정

 웹서버 및 웹페이지를 구동하는 언어에 대한 설정값을 변경하여 URL호출과 같은 HTTP를 통한 프로그램 실행을 반드시 막아야 합니다.

 

 *조치 예제

 제로보드4를 이용하신다면 XE로 업데이트하시는 것을 권장하며

 다른 게시판을 이용하시는 분들도 게시판 모듈을 최신 버전으로 업데이트해서 보안을 강화하는 것이 바람직 합니다.

 

APM(Apache + PHP + Mysql)을 이용하시고 제로보드4를 이용하신다면 아래 설정방법으로 변경하시기를 권장 드립니다.

 

php.ini 설정 파일에 allow_url_fopen, register_globals 옵션을 확인하여 OFF로 설정하는 것이 안전합니다.

① allow_url_fopen OFF

해당 옵션을 OFF로 설정하면 HTTP를 통해서는 외부 파일을 실행할 수 없게되어 게시판에 코드가 첨부되더라도 실행이 되지 않게 됩니다.

 

② register_globals OFF

이 값을 OFF로 설정하면 PHP에서 파라미터를 전역변수로 쓰지 않아 변수값 변경을 막을 수 있습니다.