'청와대'에 해당되는 글 2건

  1. 2011.08.13 쥐박이와 명박이 도메인 (2)
  2. 2009.07.08 네이버, 옥션 등 DDoS공격은 악성코드 때문 (5)
IT이야기2011. 8. 13. 23:28
'쥐박이' 도메인을 청와대에서 등록했다는 기사를 봤다.(한겨레신문) 그래서 재미삼아 도메인 whois 검색을 해봤다. 쥐박이, 명박이 도메인은 같은날에 등록을 했다. 언론에 노출된 뒤로 등록자 정보가 모두 감춰졌다.

$ whois_list.sh 쥐박이
쥐박이.kr            등록 => 등록일: 2010. 01. 27.
쥐박이.com           등록 =>  Creation Date: 27-jan-2010
쥐박이.org           등록 => Created On:27-Jan-2010 06:06:52 UTC
쥐박이.net           등록 =>  Creation Date: 27-jan-2010

$ whois_list.sh 명박이
명박이.kr            등록 => 등록일: 2010. 01. 27.
명박이.com           등록 =>  Creation Date: 27-jan-2010
명박이.org           등록 => Created On:27-Jan-2010 06:06:47 UTC
명박이.net           등록 =>  Creation Date: 27-jan-2010

$ whois_list.sh 이명박
이명박.kr            등록 => 등록일: 2010. 12. 02.
이명박.com           등록 =>  Creation Date: 15-nov-2000
이명박.org           없음
이명박.net           등록 =>  Creation Date: 11-nov-2005


* 명박이.kr whois 정보

도메인이름                  : 명박이.kr
등록인                      : 후이즈 도메인 관리자   <-- blind 처리
등록인 주소                 : 서울 구로구 구로3동 182-4 대륭포스트타워 3차 1101호
등록인 우편번호             : 152847
책임자                      : 후이즈 도메인 관리자
책임자 전자우편             : admin@whoisblind.com
책임자 전화번호             : 82-2-1588-4259
등록일                      : 2010. 01. 27.
최근 정보 변경일            : 2011. 08. 12.          <-- 언론 노출 후 정보 변경
사용 종료일                 : 2012. 01. 27.
정보공개여부                : Y


쥐박이, 명박이 도메인은 청와대에서 등록을 했다. 그런데, '이명박' 도메인은 이명박.kr, .com, .net이 모두 다른 소유자가 갖고 있었다.
왜 이명박.kr 은 청와대(국민 세금이 들어가는 것이니 개인적으로 원치는 않지만)에서 등록하지 않았을까? 이명박.com과 .net은 오래전에 등록되어 있으니 그런가보구나 넘어갈 수 있는데, 이명박.kr은 누군가에 의해 작년 12월에 등록되어 있다. 쥐박이, 명박이는 작년 1월에 등록했다. 그러면 작년 1월에 이명박.kr과 이명박.org도 같이 등록했을 수도 있지 않았을까.

한글 도메인은 이쯤하고, 다른 것을 검색해보고 싶었다. 그순간, 방통위로 부터 접속차단당한 트위터 2MB18nomA가 떠올랐다. whois 검색을 해볼까?

$ whois_list.sh 2mb18noma
2mb18noma.co.kr      없음
2mb18noma.or.kr      없음
2mb18noma.re.kr      없음
2mb18noma.pe.kr      없음
2mb18noma.go.kr      없음
2mb18noma.kr         없음
2mb18noma.com        등록 =>  Creation Date: 15-jul-2011
2mb18noma.org        등록 => Created On:15-Jul-2011 07:53:15 UTC
2mb18noma.net        등록 =>  Creation Date: 15-jul-2011


어? 등록되어 있다. 3개가 7월에. 현재 2mb18noma.com, 2mb18noma.net은 도메인 파킹되어 있다. 
2mb18noma.org은 진보넷에서 사용중인 것으로 보인다. 사이트를 가보니 '2MB18nomA 접속차단에 반대한다. 방송통신심의위원회 통신심의 문제 감시 블로그'라고 쓰여있다. 와~ 좋은 목적의 블로그다. ^^ 3개 도메인 모두 소유자는 'Domains by Proxy'으로 표시되어 있는데, 같은 날짜에 등록한 것을 보면 '진보넷'에서 등록했을 듯 싶다. 

* 2mb18noma whois 정보 

Registrant:
   Domains by Proxy, Inc.
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States


※ whois 검색은 '커피닉스에 올려둔 스크립트'를 사용했다.
 
Posted by 좋은진호

댓글을 달아 주세요

  1. 그 외에도 "이메가", "2MB".. 다양한 것을 사전에 등록한 것 같더군요.

    청와대의 휴리스틱 기능이 좋습니다.ㅎㅎ

    2011.08.14 13:46 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 아하~~ '이메가'도 같은 날 청와대에서 등록했군요.
      '2MB'는 몇년전에 확인했는데, 여러 사람이 각각 등록을 했더군요.

      2011.08.16 09:19 신고 [ ADDR : EDIT/ DEL ]

IT이야기2009. 7. 8. 10:24
어제 네이버 메일과 쪽지기능, 옥션(auction.co.kr), 조선닷컴(chosun.com), 청와대(www.president.go.kr), 국방부(www.mnd.go.kr), 은행사이트, 그리고 백악관 등 다수 사이트가 DDoS공격을 받았다. 지금도 청와대, 국방부, 조선닷컴, 옥션 등이 원할게 접속되지 않는다. 네이버 블로그도 일부 개인 페이지들이 제대로 보이지 않는 경우가 있다. 그 원인은 악성코드 때문이었다. 쿨캣님의 블로그( http://xcoolcat7.tistory.com/520 )에서 악성코드가 공격을 하는 대상 사이트의 목록을 볼 수 있다. 악성코드의 공격대상 목록과 실제 공격당한 사이트가 일치한다.

악성코드 msiexec2.exe의 공격 대상 사이트 목록

[ 출처 : 쿨캣님 블로그 ]


msiexec1.exe 등을 포함한 Win-Trojan/Downloader.374651 악성코드는 안철수연구소 바이러스 정보에서 정보를 얻을 수 있다. 그러나 공격대상 사이트 목록이 있는 msiexec2.exe에 대한 분석자료는 안랩 사이트 등 다른 곳에는 아직 공개되어 있지 않은 상태이다.

KRCERT에 '신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령'  공지가 올라와 있다. '신종 DDoS 악성코드로 인하여 국내 주요 공공기관 및 이용자 방문이 많은 포털, 금융 사이트에 대한 접속 장애 발생'했다는 내용이다.

이 악성코드가 부팅 후 자동 실행이 된다. 그리고, 제어 서버(C&C) 접속 없이 공격 대상 목록 파일정보를 기반으로 자동 공격한다.  만약 악성코드내에 공격을 중단하는 명령이 없다고 한다면, 대상사이트는 공격을 계속 받을 수 밖에 없다. C&C(Command & Control) 접속없이 이뤄지므로, 공격을 멈출 방법이 없기 때문이다. PC만 켜져있는 동안은 계속 공격이 이뤄진다는 얘기.

개인 PC에 악성코드가 심어져 있는지 검사가 필요하다.


* 관련정보 (18:15 추가)
  - 안철수연구소, DDoS 공격용 악성코드 전용백신 무료 제공 (그리고, 이번에 공격한 악성코드명)
  - Urgent-Massive DDOS Attack!
  - 하우리의 분석자료 (Trojan.Win32.DDoS-Agent.33841) (공격대상 목록 포함)
  - 네이버, 옥션, 청와대 공격 악성코드 분석 (글 쿨캣님, 16:36)
  • 악성코드 초기 버전(7.5일)이 만든 uregvs.nls 파일에는 한국 사이트는 없었고, 미국 정부 사이트만 있었다고.
  • 한국 사이트는 7월 7일에 포함

Posted by 좋은진호

댓글을 달아 주세요

  1. 네이버에 장애 공지가 새로 올라왔습니다.

    * 네이버 메일/쪽지 서비스 장애에 대한 안내. 마지막 수정 시간: 2009-07-08 11:22:51
    http://nboard.naver.com/nboard/read.php?board_id=nvnews&nid=439
    ----------------------------------------------------------------------
    네이버 메일/쪽지 서비스 장애에 대한 안내 말씀드립니다.
    안녕하세요. 네이버입니다.
    어제 자정을 기준으로 해결되었던 메일/쪽지 서비스 접속 장애가
    금일(7월 8일) 오전 10시 50분부터 다시 발생하고 있습니다.
    ----------------------------------------------------------------------

    그리고, 오전에 KISA 기업정보보호팀에서 '[KISA]신종 DDoS 공격에 따른 피해 현황 파악'에 대한 메일을 일부 업체에 보냈습니다.

    ----------------------------------------------------------------------
    7일 오후 6시부터 신종 DDoS 악성코드로 인하여 국내 주요 사이트에 대해 접속 장애가 발생 되었습니다.
    이에 안전진단 대상업체의 피해 현황을 조사하고자 하오니 많은 협조 부탁 드립니다.
    ----------------------------------------------------------------------

    2009.07.08 12:45 신고 [ ADDR : EDIT/ DEL : REPLY ]
  2. 일반인들을 대상으로 하는 매체에서 좀더 신중하게 단어를 선택했으면 좋겠어요.
    해킹과 공격은 엄연히 다른 의민데 말이죠.
    여튼... 저도 혹시 몰라서 검사하고 있어요.ㅎㅎ

    2009.07.08 13:46 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 그러게요. 좀 더 정확히 표현해주면 좋은데 말이죠.

      이제. 악성코드 심어진 PC들이 빨리 치료가 되어야 하는데, 아직도 감염되었는지도 모르는 유저들이 많을 듯...

      2009.07.08 18:14 신고 [ ADDR : EDIT/ DEL ]
  3. 트랙백 걸어 주셔서 보고 갑니다. ~~ 옆팀은 오늘도 날을 새시는듯 하네요

    2009.07.08 18:55 신고 [ ADDR : EDIT/ DEL : REPLY ]