게임코디 게임코디 연구소 GCGC 프로카데미 교육센터   회원가입 회원등급 실무자 인증 공지사항 RSS
게임프로그래머 만담 커뮤니티 베타게시판 :   지금은 개발중  |             |   무리수 건의함  |  이미지 HDD  |
게임개발자 실시간 만담
   로그인이 안돼요 자동 로그인


새로운 댓글
  안녕 ~ 게임코디 ㅋㅋ
  막아야 하는데 귀찮아...
  답글은 달고 봅니다 ㅋ...
  ㅋㅋㅋㅋㅋㅋ 이러지 ...
  이러지 마십쇼 아직 작...
  아 포인트는 어제 19시...
  두구두구두구두구....
  오!
  누군가 전염병주식회사...
  앗 아앗...
  16200원
  삼성전자우KODEX200KO...
  오오 마토찡의 게임
  되는걸로 알고있습니다...
  코스피 1680찍고 말...
  2019버전이긴 한데, ...
  흠... 과연
  올해만 버티시고5기가/...
  호우 감사함돠
  답변들 감사합니다. dl...
  .....
  비쥬얼이 재미있어보이...
  글로벌 판데믹으로 변...
  해외 직구 배송비 포함...
  ㅎㅎ 그런가요? 감사합...
  아... 사놓을걸...미...
  저도 유투브 보다가 이...
  마감되었습니다. 감사합...
  외부로부터 의도하지 ...
  쩐이 없는거 같어요총...

# 여기는 읽기 전용의 구 '게임코디 1st' 입니다

# 우리는 이제 게임코디 2nd 로 갑니다. https://gamecodi.com

게임 프로그래머의 만담은 새로운 '게임코디 2nd' 에서 진행됩니다.

공지사항

Loading...
8월3일 폐쇄 상황 반성문(보고서)
  게임코디 
작성 : 2011-08-06 18:58:18    |    조회 : 2,747
            
  

8월 3일에 게임코디가 24시간 폐쇄되었던 이유,
그 상황에 대한 발견,수정 과정의 내용입니다. 

어찌보면 굉장히 단순하고, 보안이 허술해서 ㅠㅠ  생긴 상황이므로..  
그냥 재미삼아(?)  봐주시기 바랍니다. ;;


"허걱.. 이런것도 안해놨었어? ..  "  

라는 멘트를 날리셔도 할말이 없습니다.  ㅠㅠ




머리말                                                                                       

다음 내용들은 어찌보면 게임코디의 보안이 허술하다는걸 알리는 내용입니다.
하지만 이를 숨기고 안전하다고 말만하기 보다는 ..

- 이를 알리고 실력 좋은 분들께 조언&구박을 들으며 발전하기 +
- 사이트를 운영하시는 분들께 조금이나마 도움이 되길 바라는 마음 입니다.

하지만 결론은 죄송합니다. ;;  으헝헝..  입니다. ㅠㅠ


이번 공격 방법은 8~9개월 전에 제로보드4 보안포럼에 올라왔던 방법과 비슷한 공격법인데
당시 그 상황을 제가 너무 단편적으로만 보안처리를 해두어서 살짝 변경된 방법을 막지못해
생긴 상황이었습니다. 







상황 1                                                                                       

8월 3일 새벽,
그런거없음님이 뭔가 위험 상황을 제보 해주셨습니다.

클릭시 이미지 새창.

뭔가 냄새가 나셨답니다.

제 백신과 보안 툴은 (V3,사이트가드) 아무런 체크를 안하길래...   "응..?  설마~"  하면서
글 중에 올려주셨던 도메인을 게임코디 페이지 소스보기로 검색을 해봤습니다.



허거덩....  

클릭시 이미지 새창.

정말 그 도메인이 IFRAME 으로 게임코디 페이지에 숨어있었습니다.







상황 2                                                                                      
일단 뭔지 정확히는 모르지만 더러웁고 찜찜한 녀석이 들어온건 확실하므로
일단 게임코디 전체를 폐쇄 했습니다. 

제가 종종 사용하는 tistory 계정에 폐쇄 페이지를 올리고
게임코디의 모든 접속을 해당 페이지로 리다이렉션 시켰습니다. 

클릭시 이미지 새창.







상황 3                                                                                       
이제 과연 어떤 녀석인지 확인을 하기 찾아봤습니다.

사이트에 접속하면 플래시가 하나 뜹더군요. 
그리고 아무런 반응도 없이 조용~ 합니다.

이 녀석은, 플래시 버그를 사용해서 해당 사용자의 컴퓨터에 악성코드를 넣어줍니다.

* 플래시를 최신버전으로 업데이트 하셔야 안전합니다.



사용자의 imm32.dll  외에 audio.sys 등 드라이버인냥 숨기거나 본래 시스템 파일들을
바꿔치기 해서 키보드 정보를 빼가고, 그 내역을 특정 웹사이트로 쏴준다고 합니다.

(imm32.dll 파일의 용량이 차이가 생기며,  파일 이름을 묘하게 바꾼 imm32.dll 백업 파일이 생겨납니다)



그래서 일단 제가 집에서 사용하는.. 데스크탑 치료부터 했습니다. ㅠㅠ ..
V3 Lite .. 미워요,  하나도 못막았어!

그런데~ 

8월3일에 안철수연구소에  해당 핵에대한 전용 백신이 공개 되었더군요,
그거랑 타 백신들을 사용해서 치료하고 혹시 모르니 윈도우 폴더가서 찜찜한
파일들을 직접 삭제,복구 했습니다.


플래시 버그로 개인정보를 빼가는 악성코드가 이리 퍼지는데 .. 
왜 플래시는 아무도 문제삼지 않는거죠 ? ㅋㅋ






상황 4                                                                                       

이제 게임코디 서버 어디에 뭔짓을 해서 들어온건지 확인을 해야합니다.


몇 년 전에 한번 들어왔던건, URL에 SQL Injection 과 쉘스크립트를 사용해서 서버에 특정 php 파일을 만들고, 
그 파일을 실행시키면 제로보드의 lib.php 파일에 IFRAME 코드를 삽입하는 방식으로 더러워 졌었습니다.

그래서 이번에도 그런 비슷할줄 알고, 서버에 새로 생긴 파일은 없는지, 최근에 변경된 파일은 없는지
살펴보았지만  전혀 변경된건 없었고..   그렇다면 어떻게 웹페이지 HTML 에 코드를 넣은건지 고민을 하다가..


게임코디 DB 는 안전하게 잘 있는지 살펴보려고
관리자 페이지 (제로보드4) 에 가보니

꺄악~

클릭시 이미지 새창.

여기에 귀엽게 살포시~  내용을 넣어주셨어요,

다행히 다른 부분에는 변경,손상이 없었습니다.  감사..







상황 5                                                                                       

그럼 이제 저 코드가 어떤 경로를 통해서 들어왔는지 확인을 해야합니다.

- 이런 배포성 악성코드는 프로그램으로 돌리는 경우가 많고
- 특정 사이트에 타겟팅된 공격은 거의 아닙니다.


파일에 변조가 없었으니 FTP 는 아니고,
DB의 외부접근은 차단이 되어있는걸 뚫어서 올정도로 큰 사안은 아니므로..
웹로그 분석을 시작했습니다.



확실하게 하기 위해 최근 3일치 웹로그를 살펴보기로 했습니다.

클릭시 이미지 새창.

이런게 400만줄이 넘는데..    "엄마!!  얘가 나 싫어해..!! "


결국 웹로그 분석기의 도움을 받기로 했습니다.




그것은 웹 로그 슈트

클릭시 이미지 새창.

아파치 또는 IIS 등의 웹서버 로그를 넣으면 예쁘게 리포트를 작성해줍니다.


클릭시 이미지 새창.

요렇게요...

근데 그래도 별로 눈에 잘 들어오진 않네요,



여기서 찾아야 할건 특이사항의 쿼리를 날리며 들어오는 접속을 찾아내야 합니다.

그래서 살펴봐야 할 부분은, Single Query 파트.  
접속된 모든 URL 쿼리에서 인자별로 나눠서 정리,분류된 데이터 입니다.

클릭시 이미지 새창.






허벌나게 많으므로 엑셀로 받아서 살펴봅시다.

클릭시 이미지 새창.

그래도 많고 찾으려면 갑갑해요,  왜?  정렬이 안되었으니까~

뭔지 모르는 이상한 값을 찾아야 하므로, 결국 눈으로 찾아야 합니다.
인자별로 정렬을 하면 보기가 쉬워요~







상황 6                                                                                       

이건 너무나 평범한 공격

클릭시 이미지 새창.

정말 대중적인 SQL Injection 공격 입니다.

이런건 무시...



특이한거 발견!
클릭시 이미지 새창.

로그인 권한을 이렇게 쉽게 조작을 해버리더군요 ㅋㅋㅋ 

( 해당 쿼리는 모자이크 처리 하였습니다.  공격에 활용될 소지가 있으므로.. )


문제의 접근 방식은 찾아냈으므로,  이제 위 쿼리를 언제 어디에 어떻게 사용했는지 찾아야 합니다.







상황 7                                                                                       

다시 웹로그로 돌아갑니다

클릭시 이미지 새창.

오전 1시 16분,



위에서 발견된 쿼리문으로 검색을 해보니 관리자 페이지 변경 파일에 대한 접근을 확인 할 수 있었습니다.

클릭시 이미지 새창.

오전 1시 17분,  POST 로 실질적인 어택 ~


IP 는 중국쪽 이었고, 관리자 변경 php 에 접근하면서 URL 을 조작하여 권한을 획득하고
로그인이 된것처럼 해서 POST 메소드를 날려주시는 방법으로 해당 내용을 수정 해주셨었습니다.

현재 이와 비슷한 방식의 접근은 차단 하도록 수정 하였으며,
지금도 수시로 테스트를하며 차단 부분들 강화시키고 있습니다.






24 시간이나 걸린 이유                                                                                       

위 처리과정만 하면 사실 시간이 얼마 안걸립니다.

그런데 24시간 이나 걸렸던 이유는...

해당 악성코드에 대한 조사와
PHP 의 보안이슈 및 관련된 테스트 등
개인적인 생활.. (밥,똥,잠,허세) 등..

으로  인해 24시간이나 걸리게 되었습니다.






용서해주세요 ㅠㅠ                                                                                    

게임코디의 허접한 보안으로 인해
불편을 끼쳐드린점 정말 죄송합니다. ㅠㅠ

너그러운 마음으로,
실력없는 초짜를 가르치는 마음으로
용서해주시길 바라며....  


조금씩 조금씩 수정,업데이트 하며 발전하는 게임코디가 되겠습니다.
* 게임코디님에 의해서 게시물 이동되었습니다 (2011-08-10 17:31)



  
날자고도


** 작성자(또는 관리자)에 의해 삭제된 댓글입니다 **
2011-08-06
19:29:50

  
날자고도


수고하셨습니다.
정말 발빠르게 대처하셨네요 ^^
2011-08-06
19:30:08

  
날자고도


- "게시판상단에 출력할내용"에 iFrame에 특정사이트로 접속하는 코드가 있었다.
- 그특정사이트에서는 플래쉬의 버그를 이용, 파일을 pc에심고, 키로그를 쏴준다.
- 로그분석결과 로그인이된것처럼 POST를 날려, 권한을 획득하였다.
2011-08-06
19:41:29

  
게임코디


3줄 요약 감사합니다 ㅋㅋㅋㅋ
2011-08-06
19:44:21

  
바리당


자 이젠 몽둥이...? 

ㅋㅋ 농담입니다(_ _) 수고하셨어요!
2011-08-06
20:13:49

 * 탈퇴       
노코드

모자이크 부분 너무너무너무너무 궁금합니다 ㅋㅋㅋ

2011-08-06
20:58:20

 * 탈퇴       
널부러

저렇게 문제 해결하는거군요 우왕 신기하다..

2011-08-06
21:01:00

  
복통


우와 고생하셨오용
2011-08-06
22:06:25

  
친절한티스


와... 뭔가 다이나믹? 하네욤.
2011-08-07
01:05:49

  
wishMY☆


쳇.. 중간에 링크 구두로 알려준 사람에게 쌩유 한줄이 있기를 바랬는데.. 없었음.. ㅠ_ㅠ..
2011-08-07
01:31:30

  
wishMY☆


예를. 들어서.. 스풰셜 땡스.. 같은거? :)
2011-08-07
01:31:54

  
Coder!!


흠!! 고딩때 수2 확률과 통계를 배우던 수업시간이 생각나네요


뭔 소리인지 모르게씀요 ㅠㅠ

2011-08-07
02:47:41

  
게임코디


@wishmy* 그런거 나오면 제가 불법소프트웨어 사용자란걸 공개적으로 밝히는 거잖아요 !! ㅠㅠ
왜케 눈치 없으셔!!!

원하신다면....
2011-08-07
03:25:47

  
게임코디


:: 땡스투 wishmy*
2011-08-07
03:28:14

  
ProgC


재밌게 읽었습니다. 이런 내용 재밌어요 ㅎㅎㅎ
2011-08-07
03:30:10

  
그런거없음


제가 아니였다면 겜코는...
2011-08-07
14:05:10

  
날자고도


그런거 없음님도 짤방하나 만들어 드려요? ^^
2011-08-07
15:40:09

  
하얀풍선


수고하셨어요 ㅎㅎ~
2011-08-08
09:08:19

  
달뎅이


고생하셨습니다...
2011-08-08
09:11:26

  
슈발츠


와우~ 자세한 설명 +_+
뭐~이트랑은 전혀 다르네요 ㅎㅎ
고생 많이 하셨어요 ^0^
2011-08-08
09:40:11

  
Mchello


대해커시대 ㅠㅠ
2011-08-08
11:26:21

  
겅부


ㅎㅎㅎ 고생 많이하셨네요.....
그럼 일단 컴퓨터부터 좀 체크해봐야겠네요~
2011-08-08
11:35:55

  
다인


고생하셨습니다~~~ !!

2011-08-08
14:14:50

  
컴맹


와~ 멋지네요.^^
수고많으셨습니다.~
2011-08-11
23:14:51

 * 탈퇴       
오래된개발자

ㅋㅋ 너무 귀여운 대처 후기네요. 재밌게 잘 읽었습니다.

2011-08-17
01:23:43



목록보기  |  
SORT :: |  번호순  |  최근댓글  | HIT
notice
게임코디 포인트 및 레벨 안내.  [216]
   게임코디 07/12/02 156880
111
게임코디 개편작업으로 회원가입을 중단 합니다.     
  게임코디
20/02/25 1001
110
초대장 가입 시스템이 가동 됩니다 - 중단     
  게임코디
18/04/18 22141
109
신작 게임출시 게시판 신설  [13]   
  게임코디
16/02/13 5877
108
게임코디 회원가입 개편 - 놀랍게 빠릅니다 > 초대장 방식 변경 2018.04.18  [13]   
  게임코디
16/02/11 4987
107
크라우드펀딩 후원자 페이지 오픈     
  게임코디
14/12/15 4384
106
게임코디 후원 '주주아이콘' 판매  [3]   
  게임코디
14/12/15 16139
105
개인 페이스북 정보 추가 / SNS 기능 추가  [8]   
  게임코디
14/10/23 1728
104
로그인이 안될때는 확인 해주세요.     
  게임코디
14/10/21 16528
103
베타메뉴 - 비밀만담 게시판 추가 !  [3]   
  게임코디
14/01/02 4648
102
싫어요, 블라인드 처리 기준 변경 / 포인트 + 1 기능 삭제  [9]   
  게임코디
13/10/15 1893
101
댓글 주사위 기능 추가  [78]   
  게임코디
13/06/17 2837
100
좋아요,싫어요를 하시면 블라인드 처리가 됩니다.  [9]   
  게임코디
13/04/21 6941
99
게임코디 회원 가입 안내     
  게임코디
13/02/03 19780
98
꿀위키 잠시 닫습니다 - 재오픈 했습니다.  [33]   
  게임코디
13/01/30 11133
97
잉여스멜 (잉여레벨) 기능 추가  [59]   
  게임코디
13/01/14 49482
96
하단 베너 공간 삭제합니다.     
  게임코디
13/01/13 1667
95
잉여개발자의 꿀위키 ~  [16]   
  게임코디
12/12/31 3632
94
게시판에 소스코드 예쁘게 입력하기  [6]   
  게임코디
12/12/21 3614
93
게임코디 복지 제도가 시작되었습니다.!!  [21]   
  게임코디
12/09/27 2252
92
잉여차단 시스템 업그레이드! (환생 포인트 샵) - 일시중단  [14]   
  게임코디
12/08/02 2228
91
선배의 조언, 신규 게시판 !!!! .  [15]   
  게임코디
12/03/02 2763
90
PRO마크 강제장착 / 추천 회원가입 방식 (폐지)  [56]   
  게임코디
12/01/14 3502
89
* 공개 회원가입 중단 안내 (현재 다시 오픈) *  [24]   
  게임코디
12/01/04 2580
88
연구소 게시물 하단, 배너가 생겼습니다  [12]   
  게임코디
11/12/02 2111
87
아이디 찾기, 임시패스워드 발급 기능 정상화  [5]   
  게임코디
11/10/25 2036
86
게임코디의 신기능 - 회원 일시 차단 기능.  [30]   
  게임코디
11/10/20 2476
85
* 연예인 및 타인의 사진은 주의 바랍니다 *  [13]   
  게임코디
11/10/22 2588
84
* 메뉴위치 살짝 변경 *  [14]   
  게임코디
11/10/17 1881
83
회원 메뉴에서 '이름으로 검색' 삭제  [9]   
  게임코디
11/10/12 2015
82
상단메뉴 안보이시는 분들 신고 바랍니다.  [13]   
  게임코디
11/10/11 1929
81
이미지 HDD 게시판의 신설  [13]   
  게임코디
11/08/10 2389
80
♡ 로그인에 문제가 있는 분들은 관리실로 연락 바랍니다 ♡  [9]   
  게임코디
11/08/01 2300
79
패스워드 저장방식 변경 & 빽섭 공지  [43]   
  게임코디
11/07/30 2627
8월3일 폐쇄 상황 반성문(보고서)  [25]   
  게임코디
11/08/06 2747


목록보기  |   다음페이지  |   1 [2][3][4]



게임코디 GAMECODI , 게임 프로그래머 만담 커뮤니티

게임코디 소개     |      크라우드펀딩 후원자     |      관리실 연락처     |