8월3일 폐쇄 상황 반성문(보고서)

공지사항

8월3일 폐쇄 상황 반성문(보고서)

게임코디

작성 : 2011-08-06 18:58:18 | 조회 : 2,747

8월 3일에 게임코디가 24시간 폐쇄되었던 이유,
그 상황에 대한 발견,수정 과정의 내용입니다.

어찌보면 굉장히 단순하고, 보안이 허술해서 ㅠㅠ 생긴 상황이므로..
그냥 재미삼아(?) 봐주시기 바랍니다. ;;

"허걱.. 이런것도 안해놨었어? .. "

라는 멘트를 날리셔도 할말이 없습니다. ㅠㅠ

머리말
다음 내용들은 어찌보면 게임코디의 보안이 허술하다는걸 알리는 내용입니다.
하지만 이를 숨기고 안전하다고 말만하기 보다는 ..

- 이를 알리고 실력 좋은 분들께 조언&구박을 들으며 발전하기 +
- 사이트를 운영하시는 분들께 조금이나마 도움이 되길 바라는 마음 입니다.

하지만 결론은 죄송합니다. ;; 으헝헝.. 입니다. ㅠㅠ

이번 공격 방법은 8~9개월 전에 제로보드4 보안포럼에 올라왔던 방법과 비슷한 공격법인데
당시 그 상황을 제가 너무 단편적으로만 보안처리를 해두어서 살짝 변경된 방법을 막지못해
생긴 상황이었습니다.

상황 1

8월 3일 새벽,
그런거없음님이 뭔가 위험 상황을 제보 해주셨습니다.

뭔가 냄새가 나셨답니다.

제 백신과 보안 툴은 (V3,사이트가드) 아무런 체크를 안하길래... "응..? 설마~" 하면서
글 중에 올려주셨던 도메인을 게임코디 페이지 소스보기로 검색을 해봤습니다.

허거덩....

정말 그 도메인이 IFRAME 으로 게임코디 페이지에 숨어있었습니다.

상황 2
일단 뭔지 정확히는 모르지만 더러웁고 찜찜한 녀석이 들어온건 확실하므로
일단 게임코디 전체를 폐쇄 했습니다.

제가 종종 사용하는 tistory 계정에 폐쇄 페이지를 올리고
게임코디의 모든 접속을 해당 페이지로 리다이렉션 시켰습니다.

상황 3
이제 과연 어떤 녀석인지 확인을 하기 찾아봤습니다.

사이트에 접속하면 플래시가 하나 뜹더군요.
그리고 아무런 반응도 없이 조용~ 합니다.

이 녀석은, 플래시 버그를 사용해서 해당 사용자의 컴퓨터에 악성코드를 넣어줍니다.

* 플래시를 최신버전으로 업데이트 하셔야 안전합니다.

사용자의 imm32.dll 외에 audio.sys 등 드라이버인냥 숨기거나 본래 시스템 파일들을
바꿔치기 해서 키보드 정보를 빼가고, 그 내역을 특정 웹사이트로 쏴준다고 합니다.

(imm32.dll 파일의 용량이 차이가 생기며, 파일 이름을 묘하게 바꾼 imm32.dll 백업 파일이 생겨납니다)

그래서 일단 제가 집에서 사용하는.. 데스크탑 치료부터 했습니다. ㅠㅠ ..
V3 Lite .. 미워요, 하나도 못막았어!

그런데~

8월3일에 안철수연구소에 해당 핵에대한 전용 백신이 공개 되었더군요,
그거랑 타 백신들을 사용해서 치료하고 혹시 모르니 윈도우 폴더가서 찜찜한
파일들을 직접 삭제,복구 했습니다.

플래시 버그로 개인정보를 빼가는 악성코드가 이리 퍼지는데 ..
왜 플래시는 아무도 문제삼지 않는거죠 ? ㅋㅋ

상황 4

이제 게임코디 서버 어디에 뭔짓을 해서 들어온건지 확인을 해야합니다.

몇 년 전에 한번 들어왔던건, URL에 SQL Injection 과 쉘스크립트를 사용해서 서버에 특정 php 파일을 만들고,
그 파일을 실행시키면 제로보드의 lib.php 파일에 IFRAME 코드를 삽입하는 방식으로 더러워 졌었습니다.

그래서 이번에도 그런 비슷할줄 알고, 서버에 새로 생긴 파일은 없는지, 최근에 변경된 파일은 없는지
살펴보았지만 전혀 변경된건 없었고..   그렇다면 어떻게 웹페이지 HTML 에 코드를 넣은건지 고민을 하다가..

게임코디 DB 는 안전하게 잘 있는지 살펴보려고
관리자 페이지 (제로보드4) 에 가보니

꺄악~

여기에 귀엽게 살포시~ 내용을 넣어주셨어요,

다행히 다른 부분에는 변경,손상이 없었습니다. 감사..

상황 5

그럼 이제 저 코드가 어떤 경로를 통해서 들어왔는지 확인을 해야합니다.

- 이런 배포성 악성코드는 프로그램으로 돌리는 경우가 많고
- 특정 사이트에 타겟팅된 공격은 거의 아닙니다.

파일에 변조가 없었으니 FTP 는 아니고,
DB의 외부접근은 차단이 되어있는걸 뚫어서 올정도로 큰 사안은 아니므로..
웹로그 분석을 시작했습니다.

확실하게 하기 위해 최근 3일치 웹로그를 살펴보기로 했습니다.

이런게 400만줄이 넘는데.. "엄마!! 얘가 나 싫어해..!! "

결국 웹로그 분석기의 도움을 받기로 했습니다.

그것은 웹 로그 슈트

클릭시 이미지 새창.

아파치 또는 IIS 등의 웹서버 로그를 넣으면 예쁘게 리포트를 작성해줍니다.

요렇게요...

근데 그래도 별로 눈에 잘 들어오진 않네요,

여기서 찾아야 할건 특이사항의 쿼리를 날리며 들어오는 접속을 찾아내야 합니다.

그래서 살펴봐야 할 부분은, Single Query 파트.
접속된 모든 URL 쿼리에서 인자별로 나눠서 정리,분류된 데이터 입니다.

허벌나게 많으므로 엑셀로 받아서 살펴봅시다.

그래도 많고 찾으려면 갑갑해요, 왜? 정렬이 안되었으니까~

뭔지 모르는 이상한 값을 찾아야 하므로, 결국 눈으로 찾아야 합니다.
인자별로 정렬을 하면 보기가 쉬워요~

상황 6

이건 너무나 평범한 공격

정말 대중적인 SQL Injection 공격 입니다.

이런건 무시...

특이한거 발견!

로그인 권한을 이렇게 쉽게 조작을 해버리더군요 ㅋㅋㅋ

( 해당 쿼리는 모자이크 처리 하였습니다. 공격에 활용될 소지가 있으므로.. )

문제의 접근 방식은 찾아냈으므로, 이제 위 쿼리를 언제 어디에 어떻게 사용했는지 찾아야 합니다.

상황 7

다시 웹로그로 돌아갑니다

오전 1시 16분,

위에서 발견된 쿼리문으로 검색을 해보니 관리자 페이지 변경 파일에 대한 접근을 확인 할 수 있었습니다.

오전 1시 17분, POST 로 실질적인 어택 ~

IP 는 중국쪽 이었고, 관리자 변경 php 에 접근하면서 URL 을 조작하여 권한을 획득하고
로그인이 된것처럼 해서 POST 메소드를 날려주시는 방법으로 해당 내용을 수정 해주셨었습니다.

현재 이와 비슷한 방식의 접근은 차단 하도록 수정 하였으며,
지금도 수시로 테스트를하며 차단 부분들 강화시키고 있습니다.

24 시간이나 걸린 이유

위 처리과정만 하면 사실 시간이 얼마 안걸립니다.

그런데 24시간 이나 걸렸던 이유는...

해당 악성코드에 대한 조사와
PHP 의 보안이슈 및 관련된 테스트 등
개인적인 생활.. (밥,똥,잠,허세) 등..

으로 인해 24시간이나 걸리게 되었습니다.

용서해주세요 ㅠㅠ

게임코디의 허접한 보안으로 인해
불편을 끼쳐드린점 정말 죄송합니다. ㅠㅠ

너그러운 마음으로,
실력없는 초짜를 가르치는 마음으로
용서해주시길 바라며....

조금씩 조금씩 수정,업데이트 하며 발전하는 게임코디가 되겠습니다.
* 게임코디님에 의해서 게시물 이동되었습니다 (2011-08-10 17:31)

날자고도

** 작성자(또는 관리자)에 의해 삭제된 댓글입니다 **

2011-08-06
19:29:50

날자고도

수고하셨습니다.

정말 발빠르게 대처하셨네요 ^^

2011-08-06
19:30:08

날자고도

- "게시판상단에 출력할내용"에 iFrame에 특정사이트로 접속하는 코드가 있었다.

- 그특정사이트에서는 플래쉬의 버그를 이용, 파일을 pc에심고, 키로그를 쏴준다.

- 로그분석결과 로그인이된것처럼 POST를 날려, 권한을 획득하였다.

2011-08-06
19:41:29

게임코디

3줄 요약 감사합니다 ㅋㅋㅋㅋ

2011-08-06
19:44:21

바리당

자 이젠 몽둥이...?

ㅋㅋ 농담입니다(_ _) 수고하셨어요!

2011-08-06
20:13:49

* 탈퇴
노코드

모자이크 부분 너무너무너무너무 궁금합니다 ㅋㅋㅋ

2011-08-06
20:58:20

* 탈퇴
널부러

저렇게 문제 해결하는거군요 우왕 신기하다..

2011-08-06
21:01:00

복통

우와 고생하셨오용

2011-08-06
22:06:25

친절한티스

와... 뭔가 다이나믹? 하네욤.

2011-08-07
01:05:49

wishMY☆

쳇.. 중간에 링크 구두로 알려준 사람에게 쌩유 한줄이 있기를 바랬는데.. 없었음.. ㅠ_ㅠ..

2011-08-07
01:31:30

wishMY☆

예를. 들어서.. 스풰셜 땡스.. 같은거? :)

2011-08-07
01:31:54

Coder!!

흠!! 고딩때 수2 확률과 통계를 배우던 수업시간이 생각나네요

뭔 소리인지 모르게씀요 ㅠㅠ

2011-08-07
02:47:41

게임코디

@wishmy* 그런거 나오면 제가 불법소프트웨어 사용자란걸 공개적으로 밝히는 거잖아요 !! ㅠㅠ
왜케 눈치 없으셔!!!

원하신다면....

2011-08-07
03:25:47

게임코디

:: 땡스투 wishmy*

2011-08-07
03:28:14

ProgC

재밌게 읽었습니다. 이런 내용 재밌어요 ㅎㅎㅎ

2011-08-07
03:30:10

그런거없음

제가 아니였다면 겜코는...

2011-08-07
14:05:10

날자고도

ㄴ

그런거 없음님도 짤방하나 만들어 드려요? ^^

2011-08-07
15:40:09

하얀풍선

수고하셨어요 ㅎㅎ~

2011-08-08
09:08:19

달뎅이

고생하셨습니다...

2011-08-08
09:11:26

슈발츠

와우~ 자세한 설명 +_+
뭐~이트랑은 전혀 다르네요 ㅎㅎ
고생 많이 하셨어요 ^0^

2011-08-08
09:40:11

Mchello

대해커시대 ㅠㅠ

2011-08-08
11:26:21

겅부

ㅎㅎㅎ 고생 많이하셨네요.....
그럼 일단 컴퓨터부터 좀 체크해봐야겠네요~

2011-08-08
11:35:55

다인

고생하셨습니다~~~ !!

2011-08-08
14:14:50

컴맹

와~ 멋지네요.^^
수고많으셨습니다.~

2011-08-11
23:14:51

* 탈퇴
오래된개발자

ㅋㅋ 너무 귀여운 대처 후기네요. 재밌게 잘 읽었습니다.

2011-08-17
01:23:43

목록보기 |

SORT :: | 번호순 | 최근댓글 |

HIT

notice

게임코디 포인트 및 레벨 안내. [216]

게임코디

07/12/02

156880

111

게임코디 개편작업으로 회원가입을 중단 합니다.

게임코디

20/02/25

1001

110

초대장 가입 시스템이 가동 됩니다 - 중단

게임코디

18/04/18

22141

109

신작 게임출시 게시판 신설 [13]

게임코디

16/02/13

5877

108

게임코디 회원가입 개편 - 놀랍게 빠릅니다 > 초대장 방식 변경 2018.04.18 [13]

게임코디

16/02/11

4987

107

크라우드펀딩 후원자 페이지 오픈

게임코디

14/12/15

4384

106

게임코디 후원 '주주아이콘' 판매 [3]

게임코디

14/12/15

16139

105

개인 페이스북 정보 추가 / SNS 기능 추가 [8]

게임코디

14/10/23

1728

104

로그인이 안될때는 확인 해주세요.

게임코디

14/10/21

16528

103

베타메뉴 - 비밀만담 게시판 추가 ! [3]

게임코디

14/01/02

4648

102

싫어요, 블라인드 처리 기준 변경 / 포인트 + 1 기능 삭제 [9]

게임코디

13/10/15

1893

101

댓글 주사위 기능 추가 [78]

게임코디

13/06/17

2837

100

좋아요,싫어요를 하시면 블라인드 처리가 됩니다. [9]

게임코디

13/04/21

6941

게임코디 회원 가입 안내

게임코디

13/02/03

19780

꿀위키 잠시 닫습니다 - 재오픈 했습니다. [33]

게임코디

13/01/30

11133

잉여스멜 (잉여레벨) 기능 추가 [59]

게임코디

13/01/14

49482

하단 베너 공간 삭제합니다.

게임코디

13/01/13

1667

잉여개발자의 꿀위키 ~ [16]

게임코디

12/12/31

3632

게시판에 소스코드 예쁘게 입력하기 [6]

게임코디

12/12/21

3614

게임코디 복지 제도가 시작되었습니다.!! [21]

게임코디

12/09/27

2252

잉여차단 시스템 업그레이드! (환생 포인트 샵) - 일시중단 [14]

게임코디

12/08/02

2228

선배의 조언, 신규 게시판 !!!! . [15]

게임코디

12/03/02

2763

PRO마크 강제장착 / 추천 회원가입 방식 (폐지) [56]

게임코디

12/01/14

3502

* 공개 회원가입 중단 안내 (현재 다시 오픈) * [24]

게임코디

12/01/04

2580

연구소 게시물 하단, 배너가 생겼습니다 [12]

게임코디

11/12/02

2111

아이디 찾기, 임시패스워드 발급 기능 정상화 [5]

게임코디

11/10/25

2036

게임코디의 신기능 - 회원 일시 차단 기능. [30]

게임코디

11/10/20

2476

* 연예인 및 타인의 사진은 주의 바랍니다 * [13]

게임코디

11/10/22

2588

* 메뉴위치 살짝 변경 * [14]

게임코디

11/10/17

1881

회원 메뉴에서 '이름으로 검색' 삭제 [9]

게임코디

11/10/12

2015

상단메뉴 안보이시는 분들 신고 바랍니다. [13]

게임코디

11/10/11

1929

이미지 HDD 게시판의 신설 [13]

게임코디

11/08/10

2389

♡ 로그인에 문제가 있는 분들은 관리실로 연락 바랍니다 ♡ [9]

게임코디

11/08/01

2300

패스워드 저장방식 변경 & 빽섭 공지 [43]

게임코디

11/07/30

2627

8월3일 폐쇄 상황 반성문(보고서) [25]

게임코디

11/08/06

2747

목록보기 | 다음페이지 |

1 [2][3][4]

# 여기는 읽기 전용의 구 '게임코디 1st' 입니다

# 우리는 이제 게임코디 2nd 로 갑니다. https://gamecodi.com

게임 프로그래머의 만담은 새로운 '게임코디 2nd' 에서 진행됩니다.