최근 발생한 일본 2ch 의 장애 원인이, 한국에서 약 4 천개 정도의 IP 에서 DDoS 공격을 감행했기 때문이라는 발표가 나왔네요.
http://j2k.naver.com/j2k_frame.php/korean/gigazine.net/index.php?/news/comments/20080418_2ch_ddos/
한국에 감염시켜둔 Botnet 을 이용해 중국 해커가 돈을 요구하려는 것인 듯...
저희는 최근 몇년 간 우리가 당해온 것만 생각하고 있지만, 사실 일본에 대한 공격은 우리의 몇 배에 이릅니다.
최근에는 중국 해커들이 SQL injection 을 이용해 DB 내에 악성 스크립트(예를 들면 fuckjp.js) 를 심는 경우가 많은데, 작년 하반기와 올해 상반기에 일본의 피해규모가 상당합니다. 이런 사이트는 일반 사용자가 사이트 메인 페이지에 접속하면 DB 에 심어진 악성 자바스크립트가 사용자 브라우저에 뿌려지면서 악성 코드에 감염되게 되죠. 해킹 대응 과정에서 HTML 파일만 열심히 보다가 DB 내에 심어진 자바스크립트를 못보고 지나칠 수 있으니, 주의가 필요합니다.
마침 중국 해커들이 위의 공격 방식을 자동화할 때 사용하는 것으로 추정되는 SQL injection 해킹툴 정보가 SANS 에 올라왔으니, 참고해보시는 것도 좋을 듯...
중국해킹툴 정보 : http://isc.sans.org/diary.html?storyid=4294
fuckjp.js 삽입에 즐겨 사용되는 중국내 도메인은 SANS 자료에 나온 2117966.net 이외에도 몇 개가 있으며, fuckjp.js 가 삽입된 한중일 사이트 숫자는 상당한 수준입니다.
위의 그림은 google.co.kr 에서 fuckjp.js 라는 키워드로 검색했을 때 나오는 홈페이지들의 리스트 중 일부입니다. 일부 사이트는 구글의 보안 조치로 인해 '이 사이트는 컴퓨터에 문제를 야기할 수 있습니다.' 라는 메시지가 뜨는 걸 보실 수 있습니다.
맨 위의 '헬로잡' 이라는 홈페이지에 접속해보면, 해당툴의 성격을 조금 알 수 있습니다. SQL injection 을 통해 DB 테이블에 무차별적으로 스크립트를 삽입하는 자동화된 툴이죠. 어차피 툴은 어떤 테이블에 스크립트를 삽입해야 사용자 브라우저 화면에 나타나는지 알 수 없기 때문에, 이런 접근 방식을 취하는 것으로 보입니다. '헬로잡'의 경우는 정작 브라우저 공격에 필요한 위치에는 삽입하지 못하고, 다른 테이블의 데이터들만 변조된 것을 보실 수 있습니다.
그러나, SQL injection 취약점이 있는 것은 사실이기 때문에, 언제든 중국 해커들이 장악해서 다른 공격 용도로 활용할 수 있는 상태죠. 좀비 서버가 되기 위해 상시 대기하고 있는 시스템이라고 해야 하나요? 제발, 사이트를 네트워크에 물리기 전에 보안에 신경써주시기 바랍니다.
그리고, 여러분이 혹시 담당하시는 사이트가 있다면, DB 의 모든 테이블에 대해 혹시 fuckjp.js 같은 내용이 들어있는지 쿼리를 날려서 점검해보시기 바랍니다.
http://j2k.naver.com/j2k_frame.php/korean/gigazine.net/index.php?/news/comments/20080418_2ch_ddos/
한국에 감염시켜둔 Botnet 을 이용해 중국 해커가 돈을 요구하려는 것인 듯...
저희는 최근 몇년 간 우리가 당해온 것만 생각하고 있지만, 사실 일본에 대한 공격은 우리의 몇 배에 이릅니다.
최근에는 중국 해커들이 SQL injection 을 이용해 DB 내에 악성 스크립트(예를 들면 fuckjp.js) 를 심는 경우가 많은데, 작년 하반기와 올해 상반기에 일본의 피해규모가 상당합니다. 이런 사이트는 일반 사용자가 사이트 메인 페이지에 접속하면 DB 에 심어진 악성 자바스크립트가 사용자 브라우저에 뿌려지면서 악성 코드에 감염되게 되죠. 해킹 대응 과정에서 HTML 파일만 열심히 보다가 DB 내에 심어진 자바스크립트를 못보고 지나칠 수 있으니, 주의가 필요합니다.
마침 중국 해커들이 위의 공격 방식을 자동화할 때 사용하는 것으로 추정되는 SQL injection 해킹툴 정보가 SANS 에 올라왔으니, 참고해보시는 것도 좋을 듯...
중국해킹툴 정보 : http://isc.sans.org/diary.html?storyid=4294
fuckjp.js 삽입에 즐겨 사용되는 중국내 도메인은 SANS 자료에 나온 2117966.net 이외에도 몇 개가 있으며, fuckjp.js 가 삽입된 한중일 사이트 숫자는 상당한 수준입니다.
맨 위의 '헬로잡' 이라는 홈페이지에 접속해보면, 해당툴의 성격을 조금 알 수 있습니다. SQL injection 을 통해 DB 테이블에 무차별적으로 스크립트를 삽입하는 자동화된 툴이죠. 어차피 툴은 어떤 테이블에 스크립트를 삽입해야 사용자 브라우저 화면에 나타나는지 알 수 없기 때문에, 이런 접근 방식을 취하는 것으로 보입니다. '헬로잡'의 경우는 정작 브라우저 공격에 필요한 위치에는 삽입하지 못하고, 다른 테이블의 데이터들만 변조된 것을 보실 수 있습니다.
그러나, SQL injection 취약점이 있는 것은 사실이기 때문에, 언제든 중국 해커들이 장악해서 다른 공격 용도로 활용할 수 있는 상태죠. 좀비 서버가 되기 위해 상시 대기하고 있는 시스템이라고 해야 하나요? 제발, 사이트를 네트워크에 물리기 전에 보안에 신경써주시기 바랍니다.
그리고, 여러분이 혹시 담당하시는 사이트가 있다면, DB 의 모든 테이블에 대해 혹시 fuckjp.js 같은 내용이 들어있는지 쿼리를 날려서 점검해보시기 바랍니다.
덧글
ㅇㅅㅇ 2008/04/20 00:38 # 삭제 답글
거참.. 중국일들 반일감정이 어느정도면.. fuckjp랍니까.
강우 2008/04/20 03:57 # 답글
(옥션 해킹을 했던 중국 해커 추정 양반이 쓰던 닉도 fuckkr 이었습니다. fuckkr.js 가 언제 우리를 공격할 지도 모르죠)
n0fate 2008/04/20 10:10 # 삭제 답글
일본도 이 fuckjs에게 많이 당했다고 하더군요-_-;
zhengmanzh 2008/04/20 12:12 # 삭제 답글
중국의 전문 해커 키우는 잡지가 있습니다. 잡지 이름은 黑客防线 www.hacker.com.cn 입니다. 각종 해커에 대한 정보가 있지요.
zhengmanzh 2008/04/20 12:24 # 삭제 답글
중국의 百度 홈페이지 www.baidu.com 에서 韩国人身份证 을 검색하면 한국인의 주민등록번호가 무작위로 나옵니다.특정한 번호를 입력 검색 (예 650129 검색 뒤의 7자리를 찾을수 있습니다) 한국인 주민 번호를 도취해서 주로 한국 온 라인 께임을 하는대 사용을 합니다. 한국은 온 라인 께임을 하는대 왜 구지 주민 등록증을 사용하는지 이해가 안가내요. 오늘 중국의 바이뚜 홈페이지에 가서 한국인 주민등록번호를 찾을수 있는지 확인을 해봤는대요 참말로 사실 입니다. 집 전화 번호 까지 다 있어서 전화를 걸어서 확인을 했더니 맞더 라고요. 한국에서 중국 정부에 항이를 해야 됄 문재로 압니다.
우주괴물 2008/04/22 12:19 # 답글
뭐 중국의 해킹은 사용자들의 장난이 아니라 일종의 문화로 자리잡고 있습니다. 왜 그런 비생산적인 일에 목메는지. -_-;
wfwaf 2010/08/15 23:35 # 삭제 답글
으...난 DDOS 쓰면 어떻게 될지 무서워서 ㅠㅠㅠ