흠... 결국 이 정보가 널리 알려졌군요.
하긴, 피해 규모에 비해 그간 너무 안알려진 감이 있죠.
해외 IT 사이트인 Slashdot 에 "500 Thousand MS Web Servers Hacked" 라는 제목의 글이 올라왔습니다.
보안 업체 F-Secure 의 블로그에 올라온 "Mass SQL injection" 을 인용한 글인데요.
사실 네트워크 트래픽 모니터링 하시거나, 저처럼 악성코드 추적시스템 돌리는 사람이라면 이미 2~3개월 전 쯤에 '이거 일이 심상치 않게 돌아가는구나~' 라고 느끼셨을 겁니다. 피해 규모가 예전의 다른 공격들과는 비교가 안되죠.
이 공격의 피해자는 비단 미국만이 아닙니다. 국적을 불문하고 전세계의 침투 가능한 모든 시스템에 악성코드를 삽입하고 있습니다.
이 공격에 주로 사용되는 도메인으로 위의 자료에선 nmidahena.com, aspder.com, nihaorr1.com 가 거론되고 있습니다만, 그 외에도 yl18.net, rnmb.net, t.uc8010.com 등이 악성코드 호스팅 서버로 이용되고 있습니다.
그러면 간단한 구글 키워드를 이용해 자신이 운영하는 서버가 피해를 입었는지 파악하는 방법을 알려드리겠습니다.
여러분이 운영하는 서버가 예를 들어 example.co.kr 이라면 구글에서
1. site:example.co.kr 0.js
2. site:example.co.kr 1.js
3. site:example.co.kr fuckjp.js
라는 키워드로 검색해보세요.
만일 아래 그림과 같은 결과가 나온다면 여러분의 사이트는 이미 공격의 피해를 입은 것입니다.
모두 공통적으로 <script src="http://악성코드 호스팅 서버/자바스크립트"> 형태의 소스가 삽입된 것을 보실 수 있습니다. 공격 기법에는 SQL injection 이 사용되고 있구요.
가장 피해 규모가 큰 것은 1.js 입니다.
미국 구글 서치 엔진에서 co.kr 도메인에 대해서만 1.js 가 삽입된 사이트를 뒤져보면, 7,770 개의 결과가 나옵니다. go.kr 이나 or.kr, com 등 다른 사이트까지 고려하면 이보다 몇 배의 숫자가 되겠죠.
그 다음으로 피해 규모가 큰 것은 fuckjp.js 입니다.
역시 같은 방식으로 검색해보면 5,120 개의 결과가 나옵니다.
0.js 는 비교적 늦게 공격에 뛰어든 편인데, site:co.kr net/0.js 로 검색하면 4,770 개의 결과가 나옵니다.
site:co.kr com/0.js 으로 검색해도 몇 건이 나오구요.
현재 정부 산하 보안 관련 기관과 ISP 가 공조해 악성코드 호스팅 서버로의 접속을 막고 있기 때문에, 일반인의 직접적인 피해규모는 적은 상태입니다만, 공격 방식의 특성 상 사이트 DB 내의 데이터가 깨지게 되기 때문에 서버 관리자, 보안 담당자의 관심과 주의가 필요하다고 하겠습니다.
SQL injection 공격이 가능한 사이트가 전세계에 얼마나 많이 존재하는지를 이번 공격보다 극명하게 보여준 적은 없는 것 같군요. 이번 대량 공격 사태가 사이트 개발 시 보안에 만전을 기하는 계기가 되었으면 합니다.
조치 시 주의 사항
1. 홈페이지 변조를 통해 악성코드 링크를 삽입한게 아니라, SQL injection 기법을 이용해 DB 컨텐츠에 삽입한 것입니다.
2. 조치 시 DBA 의 도움을 받는게 좋습니다.
3. 공격 때문에 기존의 데이터가 일부 덧씌워져 변경되었을 수 있습니다. 이럴 땐 백업의 도움을 받아야 겠지만, 일부 데이터의 유실은 어쩔 수 없을 듯...
4. 근본 원인은 사이트가 SQL injection 공격에 취약하게 개발되어 있어서 그렇습니다. 공격 포인트를 파악해서 외주개발 업체, 혹은 내부개발팀을 통해 소스를 수정하세요.
5. 소스를 수정할 수 없는 경우 웹 방화벽이 도움이 될 수도 있습니다. 그러나, 제품 도입시 면밀히 검토하실 필요가 있습니다. 단순 패턴 매칭 형태를 사용해서, 보유패턴과 1byte 만 틀려도 탐지 못하는 제품이 몇 개 있더군요.
---<추가>---
봇넷 추적을 하는 쉐도우서버 그룹(관련글: http://swbae.egloos.com/1532843)에서 이번 공격에 대한 상세 분석 자료가 나왔습니다.
분석자료: http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080424
이글루스 가든 - professional secur...
하긴, 피해 규모에 비해 그간 너무 안알려진 감이 있죠.
해외 IT 사이트인 Slashdot 에 "500 Thousand MS Web Servers Hacked" 라는 제목의 글이 올라왔습니다.
보안 업체 F-Secure 의 블로그에 올라온 "Mass SQL injection" 을 인용한 글인데요.
사실 네트워크 트래픽 모니터링 하시거나, 저처럼 악성코드 추적시스템 돌리는 사람이라면 이미 2~3개월 전 쯤에 '이거 일이 심상치 않게 돌아가는구나~' 라고 느끼셨을 겁니다. 피해 규모가 예전의 다른 공격들과는 비교가 안되죠.
이 공격의 피해자는 비단 미국만이 아닙니다. 국적을 불문하고 전세계의 침투 가능한 모든 시스템에 악성코드를 삽입하고 있습니다.
이 공격에 주로 사용되는 도메인으로 위의 자료에선 nmidahena.com, aspder.com, nihaorr1.com 가 거론되고 있습니다만, 그 외에도 yl18.net, rnmb.net, t.uc8010.com 등이 악성코드 호스팅 서버로 이용되고 있습니다.
그러면 간단한 구글 키워드를 이용해 자신이 운영하는 서버가 피해를 입었는지 파악하는 방법을 알려드리겠습니다.
여러분이 운영하는 서버가 예를 들어 example.co.kr 이라면 구글에서
1. site:example.co.kr 0.js
2. site:example.co.kr 1.js
3. site:example.co.kr fuckjp.js
라는 키워드로 검색해보세요.
만일 아래 그림과 같은 결과가 나온다면 여러분의 사이트는 이미 공격의 피해를 입은 것입니다.
(fuckjp.js 가 삽입된 사례)
(1.js 가 삽입된 사례)
(0.js 가 삽입된 사례)
모두 공통적으로 <script src="http://악성코드 호스팅 서버/자바스크립트"> 형태의 소스가 삽입된 것을 보실 수 있습니다. 공격 기법에는 SQL injection 이 사용되고 있구요.
가장 피해 규모가 큰 것은 1.js 입니다.
미국 구글 서치 엔진에서 co.kr 도메인에 대해서만 1.js 가 삽입된 사이트를 뒤져보면, 7,770 개의 결과가 나옵니다. go.kr 이나 or.kr, com 등 다른 사이트까지 고려하면 이보다 몇 배의 숫자가 되겠죠.
그 다음으로 피해 규모가 큰 것은 fuckjp.js 입니다.
역시 같은 방식으로 검색해보면 5,120 개의 결과가 나옵니다.
0.js 는 비교적 늦게 공격에 뛰어든 편인데, site:co.kr net/0.js 로 검색하면 4,770 개의 결과가 나옵니다.
site:co.kr com/0.js 으로 검색해도 몇 건이 나오구요.
현재 정부 산하 보안 관련 기관과 ISP 가 공조해 악성코드 호스팅 서버로의 접속을 막고 있기 때문에, 일반인의 직접적인 피해규모는 적은 상태입니다만, 공격 방식의 특성 상 사이트 DB 내의 데이터가 깨지게 되기 때문에 서버 관리자, 보안 담당자의 관심과 주의가 필요하다고 하겠습니다.
SQL injection 공격이 가능한 사이트가 전세계에 얼마나 많이 존재하는지를 이번 공격보다 극명하게 보여준 적은 없는 것 같군요. 이번 대량 공격 사태가 사이트 개발 시 보안에 만전을 기하는 계기가 되었으면 합니다.
조치 시 주의 사항
1. 홈페이지 변조를 통해 악성코드 링크를 삽입한게 아니라, SQL injection 기법을 이용해 DB 컨텐츠에 삽입한 것입니다.
2. 조치 시 DBA 의 도움을 받는게 좋습니다.
3. 공격 때문에 기존의 데이터가 일부 덧씌워져 변경되었을 수 있습니다. 이럴 땐 백업의 도움을 받아야 겠지만, 일부 데이터의 유실은 어쩔 수 없을 듯...
4. 근본 원인은 사이트가 SQL injection 공격에 취약하게 개발되어 있어서 그렇습니다. 공격 포인트를 파악해서 외주개발 업체, 혹은 내부개발팀을 통해 소스를 수정하세요.
5. 소스를 수정할 수 없는 경우 웹 방화벽이 도움이 될 수도 있습니다. 그러나, 제품 도입시 면밀히 검토하실 필요가 있습니다. 단순 패턴 매칭 형태를 사용해서, 보유패턴과 1byte 만 틀려도 탐지 못하는 제품이 몇 개 있더군요.
---<추가>---
봇넷 추적을 하는 쉐도우서버 그룹(관련글: http://swbae.egloos.com/1532843)에서 이번 공격에 대한 상세 분석 자료가 나왔습니다.
분석자료: http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080424
이글루스 가든 - professional secur...
덧글