IT이야기2010. 6. 16. 18:43

Flash 0-day 취약점과 대량 SQL Injection 주의

최근 월스트리트 저널(online.wsj.com)등을 포함한 MS IIS 서버와 ASP.net환경의 서버에 대량 SQL Injection(Mass SQL Injection) 공격이 이뤄지고 있으니 주의가 필요하다.

해킹된 사이트에는 _script src=http://ww.robint.us/u.js_ 스크립트가 삽입이 되었다. 그 이후에 2677.in/yahoo.js, 4589.in/yahoo.js 등의 도메인으로 스크립트를 삽입하고 있다. 최근 Adobe Flash 0-day 취약점(CVE-2010-1297)이 발생했다. 이 취약점을 패치하지 않은 유저가 해킹된 사이트를 방문하면 악성코드에 감염이 된다. Armorize Blog(상세한 분석 자료 있음)에 따르면 이 악성코드는 다음 3개 게임 사이트의 게임 계정을 가로채는 것으로 알려졌다.
 
aion.plaync.co.kr
aion.plaync.jp
df.nexon.com

구글에서 2677.in/yahoo.js 또는 4589.in/yahoo.js를 검색하면, 프레시안(현재는 정상 복구된 것으로 보임), 한국표준협회, 아산시 평생학습센터 등 다수의 국내 사이트들이 감염된 것을 확인할 수 있다.

[ 구글에서 '2677.in/yahoo.js' 검색 결과 ]


유저들은 KrCERT의 권고문을 살펴보고, 반드시 Adobe Flash Player(http://get.adobe.com/flashplayer/)를 업데이트해야 한다.

마지막으로 위 도메인의 등록정보를 살펴보자. 3개 모두 중국(CN)에서 등록을 했다. 등록일이 얼마되지 않았다. 스크립를 호스팅하기 위해 생성한 도메인이라는 것을 뜻한다. 그리고, 도메인이 차단될 경우에 유사 도메인으로 계속 등록을 시도할 가능성이 커보인다.

1. robint.us
   Domain Registration Date:                    Sun Mar 14 05:28:08 GMT 2010
   Domain Last Updated Date:                    Tue Jun 08 05:10:09 GMT 2010

2. 2677.in
   Created On:10-Jun-2010 10:33:51 UTC
   Last Updated On:12-Jun-2010 15:59:46 UTC

3. 4589.in
   Created On:13-Jun-2010 08:13:07 UTC
   Last Updated On:13-Jun-2010 08:13:08 UTC


* 관련 정보

  - Mass infection of IIS/ASP sites - robint.us
  - Mass infection of IIS/ASP sites - 2677.in/yahoo.js
  - 대량 SQL Injection 공격 주의 (2009.12월)

'IT이야기' 카테고리의 다른 글

ZFS 파일시스템의 snapshot(스냅샷) 기능  (2) 2010.09.14
페이스북(Facebook)의 서버 대수는 6만대 이상?  (10) 2010.06.30
게임에서 키운 농산물을 집에서 직접 받아본다, Hatakeppi  (2) 2010.06.12
국내 출시되는 넥서스원, 안드로이드 2.2 탑재 확인  (2) 2010.06.05
삼성 갤럭시A 안드로이드폰 User Agent  (4) 2010.05.03
Posted by 좋은진호
일상2010. 6. 14. 13:05

사당역 안내시스템의 에러 메시지

지난 10일(목) 점심 때쯤에 2호선 사당역에서 대기하고 있을 때 였다. 플랫폼의 천장에 붙어있는 안내시스템에서 나온 메시지다.

[ 사당역 안내시스템의 화면 ]


Check Update....
   위치: System.Net.HttpWebRequest.GetResponse()
   위치: Metro.Launcher.Http.RequestGet(String url, String[] data)
루트 요소가 없습니다.

.Net 으로 개발되었나보다. 바탕화면에는 '바이로봇 Desktop 5.5'가 보인다.

공공시설물에서 이런 화면들을 자주 볼 수 있다. 익숙함이 무감각을 낳은 것 같다. 운영의 문제인가, 개발의 문제인가? IT 밥을 먹고 있는 저로써는 이런 화면이 흥밋거리가 되기는 하지만, 고객 입장에서는 안보였으면...


* 관련글
  2008/10/17 - [일상] - 열차 자동발매기의 윈도우 에러창

'일상' 카테고리의 다른 글

사랑의 연탄나눔운동과 월드비전에 기부했습니다.  (2) 2010.12.30
편안한 커피전문점 '크레마커피' 야탑점  (8) 2010.07.07
사랑의 연탄나눔운동에 기부했습니다.  (12) 2009.12.23
예술과 기술, 보고 이용하는 사람이 쉽게 다가갈 수 있도록...  (0) 2009.07.22
책 공동구매를 진행하면서...  (8) 2009.05.11
Posted by 좋은진호
IT이야기2010. 6. 12. 00:05

게임에서 키운 농산물을 집에서 직접 받아본다, Hatakeppi

'하테나' 블로그('휴대폰으로 농산물을 키우는 Hatakeppi') 에 따르면 일본에서 휴대폰게임으로 농산물을 키우고, 키운 농산물을 농가로 부터 직접 받아 볼 수 있는 Hatakeppi 게임이 등장했다.

Hatakeppi

[ 일본 휴대폰 게임, Hatakeppi ]


온라인 세계와 현실 세계가 연결되어 있다는 착각이 드는 게임이다. 이는 다음과 같은 '현실과 가상의 경계 허물기', '온/오프라인의 조합(온/오픈라인의 연계)'의 흐름을 따른 것이라고 봐도 될 것이다.

  • 요즘 스마트폰으로 인해 화두가 되고 있는 '증강현실'(현실세계에 가상세계를 조합)
  • 증강가상 (반대로 가상세계에 현실세계를 조합)
  • SNS에서 구축한 인맥을 오프라인의 모임, 만남으로 이뤄지는 현상

이 게임을 좀 더 살펴보면 '전국농업청년클럽연락협의회'와 협력하여 게임에서 키운 농산물을 유기농 야채로 받아볼 수 이게 유통망이 구축되어 있다. '게임유저'는 농작물 재배를 배우며, 신선한 농작물 직접 받아 볼 수 있고, '농가'는 직거래할 수 있는 색다른 판로가 생기는 장점이 있다.

Hatakeppi

[ Hatakeppi의 게임 개념 ]


Hatakeppi

[ Hatakeppi 게임 ]


그리고, 현실 1년 = 가상 23일로 시간적으로 축소되어 있다. 농작물이 쑥쑥 자라는 모습 빨리 볼 수 있으므로 현실에서 빨리 받아볼 수 있는 기쁨 또한 빨리 찾아올 것이다.

하테케피(Hatakeppi) 게임의 '사업 모델'은 2005년 시작한 미국의 '웹킨즈(Webkinz)'의 모델과 비슷한 점이 있다.
(Hatakeppi는 농사 체험 교육, Webkinz는 어린이들을 위한 교육이 있으나 이 글의 주제가 아니므로 생략한다.)

[ Webkinz ]


2008년 크리스마스 아침에 수백만 미국 가정의 나무 밑에는 동물 인형이 놓여 있었다. 그 인형에는 코드(Secret Code)가 적힌 태그가 달려 있었다. 이 코드를 이용해 온라인 게임에 접속하면, 그 인형의 가상 애완동물과 만날 수 있도록 되어 있다. 이 게임에서 가상 애완동물을 더 가질 수 있는 방법은 단 한가지. 현실에서 동물인형을 구매하는 것. 이로 인해 '웹킨즈'는 현실의 동물 인형과 가상의 애완 동물을 연결하므로써 미국 제 1의 장난감 회사로까지 부상했다.

※ 'Webkinz 사례'와 '온/오프라인 혼합 비즈니스 모델'에 대해서는 책 'Free'(p240~)에 소개되어 있으니 참고할 것.

온라인(휴대폰) -> 오프라인으로 혼합(가상 농산물이 현실세계로 배송)된 Hatakeppi, 오프라인 -> 온라인으로 혼합(현실 동물인형이 가상 애완동물)된 Webkinz는 새롭게 시도해볼 수 있는 비즈니스 모델이다.

  • 온라인에서 1주간 키운 병아리가 현실에서 '치킨'으로 배달된다면? (잘 키우느냐에 따라 맥주는 서비스)
  • 온라인에서 키운 강아지를 한달 뒤에 오프라인에서 받아 볼 수 있다면?
  • 온라인에서 키운 애벌레가 '장수풍뎅이'가 되어 현실의 아이에게 선물해 줄 수 있다면?


'IT이야기' 카테고리의 다른 글

페이스북(Facebook)의 서버 대수는 6만대 이상?  (10) 2010.06.30
Flash 0-day 취약점과 대량 SQL Injection 주의  (4) 2010.06.16
국내 출시되는 넥서스원, 안드로이드 2.2 탑재 확인  (2) 2010.06.05
삼성 갤럭시A 안드로이드폰 User Agent  (4) 2010.05.03
아이폰용 오페라 미니 브라우저와 iPad의 User Agent  (2) 2010.04.20
Posted by 좋은진호
IT이야기2010. 6. 5. 02:08

국내 출시되는 넥서스원, 안드로이드 2.2 탑재 확인

국내 KT에서 6월에 출시될 예정인 넥서스 원(Nexus One)이 Android 2.2 Froyo(프로요)를 탑재할 것이라고, 지난달 말 KT에서 트위터를 통해 발표를 했다.

Nexus One

구글 넥서스원(Nexus One)


아직 출시전인 6월 3일에 KT IP대역(KTF망=즉, KT 3G망 IP대역)에서 접속한 흔적이 있다. Android 2.2인 것을 확인할 수 있다.

Mozilla/5.0 (Linux; U; Android 2.2; en-us; Nexus One Build/FRF50) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1


그리고, SKT에서 이달 출시 예정인 모토로라의 XT800W, XT800C(XT800W는 3G WCDMA용, XT800C 2G CDMA용)도 출시 전에 SKT IP대역에서 각각 5.28(금), 6.1(화)에 접속했다.

Mozilla/5.0 (Linux; U; Android 2.1-update1; ko-kr; XT800W Build/TTSKT_U_80.10.19R) AppleWebKit/530.17 (KHTML, like Gecko) Version/4.0 Mobile Safari/530.17
Mozilla/5.0 (Linux; U; Android 2.1-update1; ko-kr; XT800C Build/TTCSK_X1_00.15.0) AppleWebKit/530.17 (KHTML, like Gecko) Version/4.0 Mobile Safari/530.17


가끔 출시 전에 접속하는 경우가 있는데, 각 이통사들의 내부 테스트중? 아니면 해외 구매하여 개통한 국내 유저? (해외 제품이 아닌 국내 휴대폰제조업체의 국내 첫 출시되는 폰의 경우도 출시전 접속하는 경우도 있었다.) 내부 테스트중이라면, 어떤 사이트를 테스트 대상으로 지정하는 것일까...



* 관련글

- 스마트폰, 풀 브라우징폰의 User Agent명(브라우저명)은? ( 2009.4~ )
- 2010/05/03 - [IT이야기] 삼성 갤럭시A 안드로이드폰 User Agent
- 2010/04/20 - [IT이야기] 아이폰용 오페라 미니 브라우저와 iPad의 User Agent
- 2009/07/13 - [IT이야기] 미출시된 초콜릿폰 II에서 웹페이지 접속한 흔적이? 테스트중?

'IT이야기' 카테고리의 다른 글

Flash 0-day 취약점과 대량 SQL Injection 주의  (4) 2010.06.16
게임에서 키운 농산물을 집에서 직접 받아본다, Hatakeppi  (2) 2010.06.12
삼성 갤럭시A 안드로이드폰 User Agent  (4) 2010.05.03
아이폰용 오페라 미니 브라우저와 iPad의 User Agent  (2) 2010.04.20
KISA의 웹사이트 개인정보 모니터링 시스템  (2) 2010.04.15
Posted by 좋은진호
시스템이야기2010. 5. 31. 19:14

MySQL에서 보안위해 load_file() 경로 제한하기

MySQL의 SELECT LOAD_FILE() 함수, LOAD DATA는 서버내에 있는 파일을 읽어들이는 명령이다. MySQL 데몬이 파일을 읽을 권한이 있다면, 서버내의 경로와 상관없이 어떠한 파일이라도 읽을 수 있다. 만약 웹페이지가 SQL Injection 공격의 취약점이 있다고 할 때 다음과 같은 형식으로 쉽게 웹에서 서버 내의 파일을 확인할 수 있는 위험성이 존재한다.

select ...생략... from ...생략...  UNION SELECT LOAD_FILE("/etc/passwd");

이 함수가 편리성, 활용성 측면에서는 좋을 수 있지만, 보안에는 취약한 통로를 제공하는 셈이다.

2009월 말, 루마니아의 Unu 해커는 세계 주요 사이트와 국내 보안 업체 사이트를 SQL Injection공격으로 해킹을 했다. 그리고, MySQL의 load_file() 함수로 서버의 /etc/ 파일까지 캡쳐하여 블로그에 공개한 적이 있다.

mysql


MySQL 5.1.17부터는 LOAD_FILE() 함수, LOAD DATA, SELECT ... OUTFILE을 특정 디렉토리내의 파일만 허용하도록 설정할 수 있다. --secure-file-priv 옵션은 동적으로는 설정값을 변경할 수가 없다. my.conf 의 '[mysqld]' 섹션에 다음과 같은 설정을 한다. (경로는 운영 환경에 맞게 할 것)

[mysqld]

secure-file-priv=/var/tmp

위처럼 설정하고 MySQL 데몬을 실행하면 load_file()을 사용할 수 있는 경로가 /var/tmp으로 제한이 된다.

자세한 글은 커피닉스의 'MySQL에서 보안위해 load_file() 경로 제한하기' ( 2010.5 )를 읽어보기 바란다.


* 관련글

- 2009/11/30 - [IT이야기] - nProtect 웹사이트, SQL Injection공격 당해
- 2008/12/11 - [시스템이야기] - MySQL 인젝션 공격 방어하는 GreenSQL
- 12.22~23 커피닉스 이야기 (Intel사이트 SQL Injection등) (2009.12.24)
- 대량 SQL Injection 공격 주의 (2009.12.11)


'시스템이야기' 카테고리의 다른 글

rsync에서 특정 퍼미션으로 고정하기  (3) 2011.03.17
DNS 요청에 대한 TimeOut시간의 진실은.  (0) 2010.11.11
MySQL관련 기술적 동영상 제공하는 percona.tv  (4) 2009.06.24
MySQL 성능 튜닝을 쉽게 하자  (4) 2009.06.08
FreeBSD 7에서 ZFS 사용 (유연성은 좋으나, 성능은 불만족)  (4) 2009.02.26
Posted by 좋은진호

티스토리툴바