IT이야기2009. 7. 9. 01:15
저녁에 알약 등의 사이트가 안뜨길래, 백신받으려는 사람이 많아서 그러나보다 생각했다. 그런데, 2차 공격이 진행됐다는 기사가 올라왔다. 개인적으로 11시대에 안랩 홈페이지(home.ahnlab.com) 가 느리게 접속되는 현상이 확인했고, 다음의 한메일(mail.daum.net)은 현재(00시대) 거의 접속이 안될 정도이다. 네이버가 메일 장애시에 임시로 mail2 도메인을 사용했는데, 방금전(01:00에 확인)에 다음 한메일도 주소를 mail2.daum.net 로 임시 변경했다.

다음 한메일 접속시.

[ 다음 한메일 접속시 나오던 창. 도메인이 mail.daum.net인 경우 ]


그러나 어느 사이트가 접속된다, 안된다의 정보를 확인하는 것보다 중요한 것은 개인 PC의 점검이다.
  • 안철수연구소에서 오후부터 전용백신을 제공( http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1 ) 하고 있으니 V3를 이용하지 않으신 분은 꼭 받아서 확인하시길.
  • 그리고, 'MPEG2TuneRequest 제로데이 취약점' 패치가 임시로 올라왔으니 적용하시길... '안철수연구소 ASEC'블로그에 자세히 설명되어 있다.
새로운 공격 대상이 생겼다는 것은 대상을 자체적으로 변경하거나, 지금도 악성코드가 계속 배포된다는 의미일 것이다. 궁금해진다.

공격당하는 사이트의 보안담당자, 네트웍엔지니어, 시스템엔지니어들, 그리고, 악성코드 분석과 대처를 위해 애쓰시는 보안업체분들은 지금 이시간에도 고생하고 계실 것 같다. 힘내세요.

* 관련 정보 

Posted by 좋은진호
IT이야기2009. 4. 28. 23:27
국내 몇몇 주요 사이트의 도메인 정보가 25일(토)에 변조된 사건이 발생했다. 상태(Status) 정보, 관리책임자(Administrative Contact)정보, 기술책임자(Technical Contact)정보 등이 변경되었다. 다행인 것은 네임서버 정보는 변경되지 않았다는 것. 만약 이 정보까지 변경됐다라면 큰 난리가 생겼을 것이다. 랭키닷컴 기준으로 1위~100위 사이트 중 .com, .net 도메인과 그외 추가로 몇개를 whois 검색했다. 총 7개 도메인에서 특이한 점이 보였다.

  • daum.net
  • hanmail.net
  • n------.com
  • c------.com
  • c------.com
  • d------.com
  • i------.com (도메인 길이에 상관없이 '-' 갯수를 임의로 통일해서 표기함)

daum.net 도메인을 살펴보자. daum.net의 whois는 DomainTools whois  또는 godadday whois  등을 포함하여 여러 whois 사이트와 whois 명령으로 살펴보았다.

daum.net whois

[ 2009.4.28현재 daum.net whois 결과 ]


daum.net whois

[ 2009.4.28현재 daum.net whois 결과 ]



1. 최종 갱신일(Updated Date)을 보면 4.25(토)이다. 변조는 토요일에 발생났다. 위 도메인 모두 그렇다.

   Updated Date: 25-apr-2009

2. Status정보가 특이하다.

   Status: clientDeleteProhibited
   Status: clientRenewProhibited
   Status: clientTransferProhibited
   Status: clientUpdateProhibited
   Status: serverDeleteProhibited
   Status: serverRenewProhibited
   Status: serverTransferProhibited
   Status: serverUpdateProhibited

   일반적으로 ok로 표시되거나 clientTransferProhibited 이나 clientDeleteProhibited, clientUpdateProhibited 정도의 상태 정보만 표시가 되는데, client... 로 시작하는 것 4개와, server... 로 시작하는 상태 정보까지 보인다. 이는 1) 도메인 정보를 악의적으로 변경한 자가 더이상 도메인 정보를 변경할 수 없도록 금지(Prohibited)시켰거나,  2) 도메인업체에서 관리기관에서 더이상 누군가 변경을 못하도록 임시로 보호조치를 취했을 것 같다. daum.net의 3.5일 갱신 정보에는 clientDeleteProhibited, clientTransferProhibited, clientUpdateProhibited 이렇게 3개 상태 정보만 갖고 있었다.

참고로 google.com이나 yahoo.com은 clientRenewProhibited 과 serverRenewProhibited를 제외한 6개의 Status를 갖고 있다.

3. Administrative Contact 정보와 Technical Contact 정보가 모두 아래와 같이 변경되어 있다. 도메인 소유 업체의 정보가 나와야할 것인데, 엉뚱한 정보뿐이다. 그리고, 얼핏보면 메일주소가 미국 업체Godaddy인 것처럼 보인다.

      Tigran, Arutunyan  domain.godaddy@yahoo.com
      Domain
      537 Seabright Ave.
      Santa Cruz, California 95062
      United States
      +1.4965784      Fax --


위의 3가지 도메인 정보때문에 변조되었을 것으로 추정한 것이다. 7개 도메인이 모두 같은 '국내 도메인 등록업체'(의심가는 서비스 업체가 있으나 얘기하지는 않겠음)일 가능성이 있다. 그리고, 그 등록업체의 문제로 인해 변조되었을 것이다. whois의 history정보를 볼 수 있다면 좀 더 명확해질텐데, 비용이 발생해서 볼 수가 없다. ^^ whois 정보로만으로 제3자 입장에서 파악하는게 쉽지가 않다. 한가지는 확실하다. 국내 대표 사이트의 도메인 정보가 이렇게 나온 경우는 본 적이 없다.



* 도메인 변조 관련

----------------------------------------------------
2009.6.4(목) 추가 사항

* 도메인 상태 코드(Status Code)에 대한 자세한 것은 '도메인 정보의 숨겨진 비밀, 상태 코드'를 보시길 (2009.5.28, 글 좋은진호)
Posted by 좋은진호
IT이야기2008. 4. 19. 00:27
4.18(금) 22:??(30분, 40분대였을 듯)에 로긴을 하려고 하니, 다음과 같은 메시지를 뿌리면서 로긴할 수가 없었다. 여러번 해도 마찬가지였고, 10~20여분 뒤에 해보니 정상적으로 로긴할 수 있었다. 조용한 것을 보면 일부 유저에게만 해당된 것 일 수도 있겠다.

사용자 삽입 이미지


오전에는 한메일을 읽는 것이 더뎠다. 개편이 진행된 이후부터 자주 이런 현상이 발생했다. 클릭을 해도 반응이 오질 않는다. 한두번 입질하는 물고기도 아니고, 클릭하면 바로 반응이 와야하지 않나. 오전에는 로그아웃도 안되는 경우도 발생. 난 나가고 싶었는데. ^^

[ 최근 다음(Daum) 서비스 장애 관련 글 ]

* 다음 한메일, 1시간동안 접속 장애로 항의 빗발쳐 (뉴시스, 2008.4.14)
* 다음 한메일 접속장애 (이데일리, 2008.4.14)
* 3.1(토) 오늘 다음 검색이 이상합니다.~ ('마음으로 찍는 사진'님, 2008.3.1)

Posted by 좋은진호