해외 사이트중에 가끔 가는 곳이 있어 접근해 보았습니다.. 그런데 갑자기 다음과 같은 화면 보이기에 조금은 당황스러웠습니다..정말 그런 걸 까요?

http://www.securitynewsportal.com/index.shtml





내용을 보면 블락킹이 된거로 되어 있습니다...아래에 문구에는 많은 봇들과 스크립트 키디 활동으로 되어 있는 IP대역이라고 나옵니다..어떤 근거에서 그러는건지,..

그래서 혹시나 싶어 보호나라 (http://www.boho.or.kr) 에서 한번 IP 점검을 해 보았습니다..정확하지는 않겠지만 그래도 봇넷 리스트에 올라가 있을수도 있기 때문에...




위 그림 부분을 클릭을 하면 감염확인 결과를 보여 줍니다..아마 KISA에서 좀비 리스트를 가지고 있어 그 리스트에 자신의 IP를 가지고 감염 유무를 알려 주는 듯합니다.

물론 전부 정확하지는 않겠지만 왜 http://www.securitynewsportal.com/index.shtml 사이트에 가면 IP블럭킹이 뜰까요?

여러분들도 접근이 안되십니까?



Posted by 엔시스

대표적인 학술 연구센터인 GTISC는 2009년 사이버 위협에 대하여 5가지 정도로 예상 한다고 밝혔다. (출처:정보보호뉴스레터-KISA) 그것을 살펴 보면 다음과 같다.

  • 맬웨어
  • 봇넷
  • 사이버전쟁
  • VOIP와 모바일 디바이스에 대한 위협
  • 사이버 범죄 경제의 발전
  1. 멜웨어는 기존에 워낙 사이버 위협을 가했던 것이라 여전히 2009년도에도 위협적인 존재로 다가올 것이다.
  2. 봇넷은 올 한해 DDoS 공격에 이슈화 되면서 더 많이 언급이 되어서 스스로 지능화 되고 네트워크화 되어 이것 역시 2009년에도 사이버 위협으로 다가 올것이라 예상을 하였다.
  3. 사이버전쟁 - 러시아와 그루지아 간의 전쟁에서도 보듯이 이제는 우선 사이버전으로 먼저 점령을 하고 그다음 물리적으로 공격할 가능성이 제기 되었다. 그것은 이제 컴퓨터로 모든 제어되고 있는 환경에서 우선 이러한 제어시스템을 장악하는것이 유리 하기 때문이다. 사이버전이 일어나는 것은 이제 현실로 되어 버렸다.
  4. VOIP- 국내에서도 일반전화 번호 그대로 인터넷전화가 변경이 시행됨에 따라 인터넷만 있으면 되는 인터넷전화로 많은 가입자와 사용자가 늘어 날 것이다. 그렇기 때문에 기존에 유선전화보다 더 많은 인터넷 환경에서의 위협이 고스란히 인터넷 전화로 옮겨갈 가능성이 있다. 2009년 한해에도 그것에 따른 위협이 더 많이 대두 될 것이다.
  5. 사이버 범죄 - 사이버 범죄로 인하여 사람들이 힘들게 일하지 않고 돈을 벌수 있다는 사실을 알게 되면서 이제는 거침 없이 범죄를 저지르고 있다.  이러한 사이버 범죄는 더욱 조직화 되고 이윤을 추구 하게 된다고 IBM 수석 보안전문가 올만은 말한다.

이렇듯 2009년 내년 한해에도 우리에게 사이버에 대한 위협은 어김없이 다가 올 것이며 우리는 그러한 위협으로부터 얼마나 정보를 잘 지켜내느냐가 관건이다.

KISA에서 발행하는 정보보호컨설팅 뉴스레터 배포본 기사를 인용하여 조금 작성해 보았다...




Posted by 엔시스

재미있는 통계가 나왔네요..Malcode and DDoS Locations: May 2008 에서 악성코드와 DDoS 통계를 내었습니다. 그런데 악성코드 부분에서 한국이 3위를 차지 했네요...

중국은 2개 모두 상위권이네요.. 이런걸 어떻게 받아 들여야 할까요?  왜 중국발 해킹이라고 하며 ..왜 중국이 많을까요?

뛰어난 해커가 많아서..아니면 인구가 많다보니 그중에 똑똑한 사람이 많아서...아니면 땅덩어리가 커서...그냥 그런 의문점이 들었습니다... 더 세부적인 사항도 링크따라 가 보시면 있으니 참고하시기 바랍니다.


 
사용자 삽입 이미지
                                        <major malcode distribution points for May, 2008>
                                             

참..문제입니다..문제...모르면 모를까 ..알면서도 ..이렇게 당하고만 있는다고 생각하니...쩝...정부에서 근본적인 정책을 강구 해야 겠습니다..자주 통폐합이나 부서 조정하지 마시고 나라 보안정책을 바로 세울수 있도록 뒷 받침해 주는 정책을 만들었으면 좋겠네요..

Posted by 엔시스
TAG DDos, 봇넷

며칠전 한 고객으로부터 서버가 자꾸 다운되고 웹페이지 및 네트워크 접속이 안된다는 민원을 접수하고 서버를 점검하였다. 리눅스서버로 간단한 회사 홈페이지 정도 구동하고 있었다. 서버 관리자는 당연히 초보이고 나름 그래도 관심을 갖는다고는 하였으나 동일증상이 반복된다고 하여 조사해 보았다.


이미 고객은 몇차례 침해 사고를 당한 적이 있어 패스워드 만큼은 보기 드물게 강력한 패스워드를 만들어 사용하고 있었다.

일단 순차적을 살펴 보기로 하자..

# uptime
 14:10:44 up  1:09,  1 user,  load average: 0.00, 0.00, 0.00

# uname -a
Linux  2.6.9-42.0.10.ELsmp #1 SMP Tue Feb 27 10:11:19 EST 2007 i686 i686 i386 GNU/Linux


]# df -k
Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/mapper/VolGroup00-LogVol00
                      68507184  14648208  50379016  23% /
/dev/sda1               101086     19568     76299  21% /boot
none                    517300         0    517300   0% /dev/shm

시간을 조사하고, 리눅스 커널 버전과 디스크 용량과 파티션 정보를 알아 보았다.

# ps -aux|more
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.3/FAQ
USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  2340  552 ?        S    13:01   0:00 init [3]
root         2  0.0  0.0     0    0 ?        S    13:01   0:00 [migration/0]
root         3  0.0  0.0     0    0 ?        SN   13:01   0:00 [ksoftirqd/0]
root         4  0.0  0.0     0    0 ?        S    13:01   0:00 [migration/1]
root         5  0.0  0.0     0    0 ?        SN   13:01   0:00 [ksoftirqd/1]
root         6  0.0  0.0     0    0 ?        S<   13:01   0:00 [events/0]
root         7  0.0  0.0     0    0 ?        S<   13:01   0:00 [events/1]
root         8  0.0  0.0     0    0 ?        S<   13:01   0:00 [khelper]
root         9  0.0  0.0     0    0 ?        S<   13:01   0:00 [kacpid]

프로세스를 점검해 보았으나 특이 사항을 찾을 수 없었다. 그 다음 가장 간단하면서도 기초적인 상황을 볼수 있는 네트워크 점검이다...만약 어떤 형태로든 침해사고를 당했다면 네트워크 세션 연결과 포트가 열려 있을 것이다.

# netstat -anp|more

211.xxx.xxx.20:32780        203.153.xxx.101:6667         ESTABLISHED 4445/httpd -DSSL

오호..너 지금 딱걸렸어...http 데몬이 의심스러웠다. 이건 왠지 직감,..우선 찍어 놓고..
다음은 혹시 스니핑을 당하고 있지 않은가 해서 스니핑 유무를 살펴 보았다..

]# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:A0:D1:E3:02:32
          inet addr:211.xxx.xxx.20  Bcast:211.xxx.xxx.31  Mask:255.255.255.224
          inet6 addr: fe80::2a0:d1ff:fee3:232/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:55249 errors:0 dropped:0 overruns:0 frame:0
          TX packets:65551 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:12122122 (11.5 MiB)  TX bytes:73491573 (70.0 MiB)
          Base address:0xcf00 Memory:fcde0000-fce00000

다행히 스니핑 당하고 있지는 않았다,..스니핑을 당하면 해당 네트워크는 상당한 피해를 초래하게 된다.

httpd     4437 nobody   22u  IPv4   7637       TCP *:80 (LISTEN)
httpd     4445 nobody    3u  IPv4   9409       TCP *:1988 (LISTEN)
httpd     4445 nobody    7u  IPv4  10783       TCP 211.xxx.xxx.20:32780->203.153.xx.101:6667 (ESTABLISHED)
httpd     4446 nobody   22u  IPv4   7637       TCP *:80 (LISTEN)

그 가운데 아까 점찍어 둔 놈을 lsof 명령어와 옵션으로 해당 파일과 포트를 어떻게 사용하고 있는지를 모았는데 httpd 데몬을 가장하고 있었다..

]# lsof -i:32780
COMMAND  PID   USER   FD   TYPE DEVICE SIZE NODE NAME
httpd   4445 nobody    7u  IPv4  10783       TCP finebill.co.kr:32780->ip-101-99-net.express.net.id:ircd (ESTABLISHED)

이 놈이 바로 httpd 데몬을 가장하여 외부에 있는 ircd 데몬과 연결이 되어 irc 채팅 서버로 뚫린 모양이다.

========================================================================================
IP INFORMATION SEARCH : 203.153.xx.xxx
국가 : Indonesia  
ISP : N2C-IFS4
기관명 : Infrastruktur N2C
주소 : PT. NettoCyber Indonesia
IP구간 : 203.153.99.0 - 203.153.99.255
 
inetnum 203.153.99.0 - 203.153.99.255
netname N2C-IFS4
country ID
descr Infrastruktur N2C
descr Jakarta
descr Indonesia
admin-c AD142-AP
tech-c GB82-AP
status ASSIGNED NON-PORTABLE
changed hostmaster@net2cyber.net 20061214
mnt-by MAINT-ID-EXPRESSNET
source APNIC
 
person Aris Dharmawan
nic-hdl AD142-AP
e-mail arisdh@net2cyber.net
address PT. NettoCyber Indonesia
address Menara Rajawali Lt 12
address Mega Kuningan Lot 5.1
address Jakarta 12950
phone +62-21-5761234
fax-no +62-21-5762345
country ID
changed novan@xl.co.id 20040915
mnt-by MAINT-ID-XLNET-N2C
source APNIC
 
person Gede B. Widagdo
nic-hdl GB82-AP
e-mail gede@velo.net.id
address PT. NettoCyber Indonesia
address Menara Rajawali Lt 12
address Mega Kuningan Lot 5.1
address Jakarta 12950
phone +62-21-5761234
fax-no +62-21-5762345
country ID
changed gede@velo.net.id 20070912
mnt-by MAINT-ID-EXPRESSNET
source APNIC
 
그래서 IP 조사결과 인도네시아로 나왔다., 실제 인도네시아 인지 아니면 인도네시아 서버도 뚫린건지 잘 모르겠지만 아무튼 그랬다.

[root@ tmp]# ls -al
total 248
drwxrwxrwx   5 root   root   40960 Mar 28 11:44 .
drwxr-xr-x  24 root   root    4096 Mar 27 13:01 ..
drwxr-xr-x   2 nobody nobody  4096 Mar 27 15:22 .c
-rw-r--r--   1 nobody nobody     0 Mar 27 15:21 cmdtemp
drwxrwxrwt   2 root   root    4096 Mar 27 13:01 .font-unix
drwxrwxrwt   2 root   root    4096 Mar 27 13:01 .ICE-unix
srwxrwxrwx   1 mysql  mysql      0 Mar 27 13:01 mysql.sock
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt.1
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt.2
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt.3
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt.4
-rw-------   1 nobody nobody 38912 Mar 20 17:09 php2jPgvv
-rw-r--r--   1 nobody nobody 29584 Mar 18 15:52 sess_7330089add1ed9e64f84ef136f02b4ef
-rw-r--r--   1 nobody nobody 29582 Mar 19 02:40 sess_7WR0089add1ed9e64f84ef136f02b4ef
[root@ tmp]#

그리고 나서 발견된 tmp 디렉토리의 수 많은 파일등,...일일이 확인해 보니 아주 봇 들이 난리도 아니었다.  자세한 것은 추후 또 살펴 보기로 하고 일단 해당 봇넷 파일 삭제와 퍼미션 조정들..그리고 방화벽 필터링을 통한 포트 제어 등으로 모니터링 후에 다시 동일한 현상이 일어나면 연락 달라고 했다.  한가지 아쉬운 점은 늘 그렇지만 지금 사용중이 서버라서 함부로 다룰수 없다는 것이다. 그렇다고 무슨 수사기관도 아니고 그럴만한 권한을 위임 받은 것도 아니기 때문에 ..여러가지 대처 방안과 요령을 말해 주고 끊었다.


'Security Incident' 카테고리의 다른 글

httpd 를 가장한 irc 봇넷  (1) 2008.03.29
Posted by 엔시스