바이러스? exploit? php-injection? (gifimg.php)

손님 중에 하나가 자기가 관리하는 사이트에 접속하면 구글에서 나쁜 사이트라고 하여 경고 메시지를 내보낸다고 하는 다급한 연락을 받았다. 

#증상
1. google 에서 This site may be distributing malware. 라며 빨간 화면이 뜬다.
2. google 은 처음 이런 malware 가 보고 되었다고 사이트를 bad site 에 등록하지 않는다. 일반 사용자가 이 사이트가 등록되었을 때에 사용자의 pc 가 다른 사이트에 연결된 script 를 다운로드하게 되고, 이 웹사이트는 다른 웹사이트로 hijack 된다. 대부분의 웹사이트 관리자는 즉시 알아채지 못한다.
3.  간단한 결론을 내려주겠다.
" 당신의 서버는 해킹된 것입니다."
4. 서버를 뒤져보면 모든 디렉토리의 images/ 디렉토리 밑에 어떤 임의의 php 코드가 생긴것을 알아챌수 있다. (asp 서버라면 asp 겠죠.)

images/

sub-directory/images/

이 고객의 서버의 경우에는 밑에 gifimg.php 라는 파일이 생성된다.

php 안의 code 는

#치료

#find . -name gifimg.php -exec rm -f {} \;

-- 컥 내용을 쓰면 google 이 블락해버려서 글을 쓸수가 없다. ^^;; 이메일 주세여.

sugarCRM 의 가능성

저는 개인적으로 회사에서 일하면서 고객관리 프로그램으로 sugarCRM 을 사용하였다. 약 3년에 걸쳐 프로그램을 deploy 하고 customization 하면서 느낀 점을 적어본다.

1. 확장성: 슈가는 studio 기능을 제공해서 프로그램 지식이 있는 사람 (혹은 열정이 있는 사람)이 직접 필요한 모듈을 개발할 수가 있다. 물론 무료로 제공되는 커뮤니티 에디션에 한해서다. 시간과 안정성을 위해서는 그냥 저렴하게 구입하는 것이 맘이 편하다. 개발의 정도에 따라서 다르지만 슈가 crm 을 ERP 의 수준으로도 바꿀수가 있다. 내가 회사에서 사용했던 것이 그것인데 필요한 기능을 하나씩 추가해가다보니 회사가 필요한 모듈들이 갖춰져서 하나의 전사적 경영정보 시스템이 되어버렸다.

2. 속도: 속도가 좀 많이 느리다. 이것이 슈가의 가장 치명적인 약점이다. 특히 custom 모듈이 좀 들어가거나 무언가 불안정한 코딩이 들어가는 경우엔 로딩 되는데 심한 경우 20초 가량이 소요된다. 웹서버를 나름 튜닝 하기도 했고 인터넷에 나와 있는 슈가를 빠르게 하는 모든 방법을 동원해 보았지만 그래도 별 다른 소득이 없었다.

3. 심미적: 인터페이스는 깔끔하지만 조금 아기자기하고 너무나 많은 기능들이 있어 사용자마다 필요없는 기능을 숨기지 않는다면 사용자가 질겁해 버릴 가능성이 많다.

슈가는 역시 클라우드로 진출했는데 역시 바람직하다. 거의 모든 ERP 나 CRM 이 유저별로 subscription 가격을 받는다. 이런 면에서 슈가 community edition 은 고려해볼만한 가치를 지닌다. 사실은 이것은 오픈소스의 보석이다. 고객관리에 대한 개념이 없는 회사들은 절대로 성장하지 못한다. 구멍가게로 남을 것이냐 전국적인 체인망을 가진 회사로 키울 것이냐는 CRM 의 성공여부에 달려 있다고 해도 과언이 아니다.

아이러니 하게도 고객관리가 가장 필요한 곳이 어딘지 아는가? 교회다. 교회는 기능의 대부분이 고객관리다. 교적부를 어떤 식으로 사용하고 있는가? 꽁꽁 묶어 놓고 교역자들만 열람하게 만든 교회는 역시 monolopy 다. 개인정보를 오픈해서는 안되지만 오픈하지 않기 위해 사용하지 않는 우를 범하지 말기 바란다. 사용하지 않는 정보는 독점적이 되거나 정보로서의 가치를 잃게 된다.

오픈과 연동: 이것이 우리가 추구하는 미래입니다.

미국에서 살면서 공부하고 경험쌓고 치열하게 필드에서 체험한 내용들을 나누고 싶습니다.

cost-effective 저렴하고 Fast ROI 투자비용을 빠르게 걷을수 있으며 Convenient 무엇보다 쓰기 편해야 하고 Popular 대중적이어야 합니다.

Linux System 리눅스 시스템, ERP/ MIS 전사적 경영정보 시스템,CRM 고객관리 (sugarCRM, civiCRM)
e-Learning 이러닝 학습관리, Moodle/ Sakai 무들/ 사카이, Web development 벤쳐 사이트 개발, Magento 마젠토, Prestashop 프리스타샵, Ubercart 위버카트, XpressEngine 제로보드 개발 및 연동 프로젝트, Premium Webhosting LA 에서 가장 빠른 고급 웹호스팅, 스피드 보장하며 마젠토나 osCommerce, prestashop 등의 쇼핑몰이 부드럽게 잘 돌아갑니다.

civiCRM 의 소개

civiCRM

http://civicrm.org/

만약에 당신이 아래와 같은 상황이라면 이 솔루션을 권한다.

1. 난 non-profit organization 을 운영하고 있다.
2. 현재 drupal 로 제작된 웹사이트가 있다.
3. 프로그래밍 레벨은 중급이다.
4. CRM 을 도입하고 싶다.
5. 속도가 빠르고 CRM 은 그다지 fancy 하지 않아도 좋다.

civiCRM 은 sugarCRM 보다 속도면에서 매우 빠르고 drupal 이 미국에서 CMS 로서는 대세인데 웹사이트가 drupal 로제작되어 있다면 심각하게 고려해 보기 바란다.

donation 에 대한 부분에 대해서는 잘 정리되어 있는 것 같다. crm 이지만 contribution 에 관해서는 파워플하다.

단지 다소 저렴해 보이는 인터페이스와 취약한 documentation 과 커뮤니티는 좀 마음에 걸린다....