그누보드3 스팸관련 사례 정보
그누보드3 스팸관련 사례관련링크
http://dvd4you.co.kr/
28회 연결
본문
이런저런 이유로 서버에 메일서버도 설치하지 않았고 포트도 막아두었습니다.
http://www.krcert.or.kr/에서 취약점 점검 서비스를 신청했는데 자기도메인의 e-mail 이 아니면 점검을 안해준다는 답신이 왔습니다. 메일서버를 돌리기로 했습니다.
2005.8.6일경 sendmail 설정을 하고 데몬을 올렸는데 경악을 했습니다. 초당 수십통의 return 메일이 쌓이고 있었습니다. hanmail, yahoo 난리가 아니더군요. 아마 제 서버의IP는 스팸발송IP로 다 로그 되었을 겁니다.
내용을 보니 무슨 한방병원의 광고 더군요. 전문적으로 스팸을 발송 대행해 주는 데서 작업을 하고 있던 중이었습니다. 제 경우 메일서버가 안돌아가니 반송메일이 있는지 없는지 몰랐던 것이었습니다.
.tv 등 애매한 도메인에 웹서버를 설치하고 의뢰업체에 연결해 주는 형태의 스팸메일 형태 더군요.
( 저는 스팸관련법을 개정해서 의뢰자도 처벌을 해야 한다고 생각 합니다. 수요가 있으니 공급이 있는 경우 입니다.)
-----------------------------------------------------------------------------------
[버그] gnuboard역시 스팸공격받을수 있는거 같습니다.
http://www.sir.co.kr/bbs/board.php?bo_table=g3_qa&wr_id=25988&sca=&sfl=wr_subject%7C%7Cwr_content&stx=%BD%BA%C6%D4&sop=and
-----------------------------------------------------------------------------------
버전 3.41
http://www.sir.co.kr/bbs/board.php?bo_table=g3_pds&wr_id=1910
-----------------------------------------------------------------------------------
제 경우 위의 패치를 설치하니 발송이 중지 되는 것 같았습니다. 아니면 눈치채고 발송을 중지 했을수도 있겠습니다.
로그를 살펴보고 찾아 보니 아래와 같은 흔적이 있더군요.
219.251.119.84 - - [07/Aug/2005:00:14:14 +0900] "GET /?doc=bbs/?doc=bbs/mbform.php HTTP/1.1" 200 72 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; DigExt)"
219.251.119.84 - - [06/Aug/2005:08:37:39 +0900] "GET /?doc=bbs/mbform.php HTTP/1.1" 200 26397 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
동일 IP에서 윈도우 98과 XP를 사용하는 것을 보니 공유기 내지는 허브를 사용하고 있고 하나로통신의 유동 IP 대역이었습니다.
사이트를 어제(2005.8.8) 닫고 딴 화면으로 가도록 유도한후 로그를 따로 받았습니다.
219.251.119.84 - - [09/Aug/2005:05:35:19 +0900] "GET /?doc=bbs/mbform.php HTTP/1.1" 200 1057 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
오늘 보니 친절하게도 아침 5시에 다시 접속을 했더군요. 제 경우 사이트에 로그인 하는 부분도 없고 숨겨져 있기 때문에 추정을 쉽게 할수 있었습니다. "GET /?doc=bbs/mbform.php 가 바로 나올수 없기 때문입니다.
사이트는 이곳입니다. http://dvd4you.co.kr/ 그누보드 3입니다.
이리저리 테스트만 해보다 방치한 상태 였는데, 좀비로 되살아나서 본의 아니게 많은 사람한테 쏘시지를 보낸 경우 입니다.
추정을 해보면 회원가입때 메일발송이 되는 부분을 이용하는 것 같습니다. 회원 가입 화면을 연후 스크립트와 자체 메일 발송 프로그램을 돌리는 것 같습니다. 스팸 발송자는 그누보드에 대해서도 잘 알고 있다는 의미 입니다.
현재 위의 해킹사실을 http://www.krcert.or.kr/ 에 신고를 해 놨고 수사권을 가지고 있는 http://www.spamcop.or.kr/kor_main.jsp 에도 신고를 한 상태입니다. 유동 IP대역이라 능력으로는 어찌해 볼수가 없네요. 업무방해로 직접 신고도 할까 생각중입니다.
참고로 쉘이 사용가능 하면
# cat 로그파일 | grep "GET /?doc=bbs/mbform.php
# cat 로그파일 | grep 추적할IP
로 찾을 수 있습니다.
iptables를 이용하면
# /sbin/iptables -I INPUT -s 해당IP -j DROP
로 해당IP를 차단 하면 됩니다.
보통 메일서버에서 반송은 3일정도 까지 되니 차단을 하더라도 한참더 반송메일이 올겁니다.
http://www.krcert.or.kr/에서 취약점 점검 서비스를 신청했는데 자기도메인의 e-mail 이 아니면 점검을 안해준다는 답신이 왔습니다. 메일서버를 돌리기로 했습니다.
2005.8.6일경 sendmail 설정을 하고 데몬을 올렸는데 경악을 했습니다. 초당 수십통의 return 메일이 쌓이고 있었습니다. hanmail, yahoo 난리가 아니더군요. 아마 제 서버의IP는 스팸발송IP로 다 로그 되었을 겁니다.
내용을 보니 무슨 한방병원의 광고 더군요. 전문적으로 스팸을 발송 대행해 주는 데서 작업을 하고 있던 중이었습니다. 제 경우 메일서버가 안돌아가니 반송메일이 있는지 없는지 몰랐던 것이었습니다.
.tv 등 애매한 도메인에 웹서버를 설치하고 의뢰업체에 연결해 주는 형태의 스팸메일 형태 더군요.
( 저는 스팸관련법을 개정해서 의뢰자도 처벌을 해야 한다고 생각 합니다. 수요가 있으니 공급이 있는 경우 입니다.)
-----------------------------------------------------------------------------------
[버그] gnuboard역시 스팸공격받을수 있는거 같습니다.
http://www.sir.co.kr/bbs/board.php?bo_table=g3_qa&wr_id=25988&sca=&sfl=wr_subject%7C%7Cwr_content&stx=%BD%BA%C6%D4&sop=and
-----------------------------------------------------------------------------------
버전 3.41
http://www.sir.co.kr/bbs/board.php?bo_table=g3_pds&wr_id=1910
-----------------------------------------------------------------------------------
제 경우 위의 패치를 설치하니 발송이 중지 되는 것 같았습니다. 아니면 눈치채고 발송을 중지 했을수도 있겠습니다.
로그를 살펴보고 찾아 보니 아래와 같은 흔적이 있더군요.
219.251.119.84 - - [07/Aug/2005:00:14:14 +0900] "GET /?doc=bbs/?doc=bbs/mbform.php HTTP/1.1" 200 72 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; DigExt)"
219.251.119.84 - - [06/Aug/2005:08:37:39 +0900] "GET /?doc=bbs/mbform.php HTTP/1.1" 200 26397 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
동일 IP에서 윈도우 98과 XP를 사용하는 것을 보니 공유기 내지는 허브를 사용하고 있고 하나로통신의 유동 IP 대역이었습니다.
사이트를 어제(2005.8.8) 닫고 딴 화면으로 가도록 유도한후 로그를 따로 받았습니다.
219.251.119.84 - - [09/Aug/2005:05:35:19 +0900] "GET /?doc=bbs/mbform.php HTTP/1.1" 200 1057 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
오늘 보니 친절하게도 아침 5시에 다시 접속을 했더군요. 제 경우 사이트에 로그인 하는 부분도 없고 숨겨져 있기 때문에 추정을 쉽게 할수 있었습니다. "GET /?doc=bbs/mbform.php 가 바로 나올수 없기 때문입니다.
사이트는 이곳입니다. http://dvd4you.co.kr/ 그누보드 3입니다.
이리저리 테스트만 해보다 방치한 상태 였는데, 좀비로 되살아나서 본의 아니게 많은 사람한테 쏘시지를 보낸 경우 입니다.
추정을 해보면 회원가입때 메일발송이 되는 부분을 이용하는 것 같습니다. 회원 가입 화면을 연후 스크립트와 자체 메일 발송 프로그램을 돌리는 것 같습니다. 스팸 발송자는 그누보드에 대해서도 잘 알고 있다는 의미 입니다.
현재 위의 해킹사실을 http://www.krcert.or.kr/ 에 신고를 해 놨고 수사권을 가지고 있는 http://www.spamcop.or.kr/kor_main.jsp 에도 신고를 한 상태입니다. 유동 IP대역이라 능력으로는 어찌해 볼수가 없네요. 업무방해로 직접 신고도 할까 생각중입니다.
참고로 쉘이 사용가능 하면
# cat 로그파일 | grep "GET /?doc=bbs/mbform.php
# cat 로그파일 | grep 추적할IP
로 찾을 수 있습니다.
iptables를 이용하면
# /sbin/iptables -I INPUT -s 해당IP -j DROP
로 해당IP를 차단 하면 됩니다.
보통 메일서버에서 반송은 3일정도 까지 되니 차단을 하더라도 한참더 반송메일이 올겁니다.
댓글 전체