카타로그의 일상생활 ㅋ

(펌: 서울신문 NTN(http://ntn.seoul.co.kr/main.php?cmd=news/news_view&idx=49165)

서론

저번주인가요?? 스펀지라는 프로그램에서

해킹에 대해 설명을 한 코너가 있었습니다..

저도 몬가해서 찾아보았었지요 ㅎㅎ

대충 내용을 보니 원격툴깔아놓고 상대방 컴퓨터 보고 조정하면서
 
보안에 대한 의식을 다시금 새기게 하는 프로그램이었습니다

결과적으로 정말 폭발적 인기를 끌었고 보안에 대하여 사람들이

다시금 생각하게 되어 정말 좋은 프로였던것같습니다.

하여튼 그 열풍을 몰아 많은 분들이 좀비PC에대한 글을 쓰셨고

저도 참여할까했지만 많은 글들이 올라오고 작년 DDOS 사태때 글을쓴것이

있어 걍 넘어가려했었습니다 ㅎㅎ

있었습니다만...

그런데 엊그제부턴가요?? 말도안대는 소리가 돌고있습니다....

DDOS의 대상이대는 좀비PC즉 넷봇을 확인하는 방법인데

CMD 창에서 트래픽을 모니터링하는 netstat -b치고 그중 포트번호 8080과

8000번이 나왔다고하면 좀피 PC가 되었다는 말이 당연시대도록 퍼지고잇습니다...

그래서 가만히보다 더이상은 안댈거같아 한마디 하고자 글을 쓰게되었습니다



참고로 링크를 붙이자면 작년

DDOS사태때 예방법과 확인법에 대해 썼는데 들어가셔서 한번 읽어보시면

도움이 될것입니다ㅎㅎ

유저들의 무관심에 일어난 굴욕 DDOS사태

http://katarog.tistory.com/74 여기가서 한번 보시면 보안에도 도움이될것입낟 ㅎ






포트번호로 좀비PC 넷봇의 확인을 불가능하다 !!!!

먼저 포트번호 8080과 8000번이 나왔다고해서 좀비PC라??
말도안대는 X소리입니다

포트번호만으로 좀비 PC 확인 절대 불가능합니다.

대표적인 예로 말씀드려드릴까요?? 저희집 netstat치면 8080포트번호 트래픽 나옵니다

밑에 사진보십시요 ㅎㅎ


어머나 8080포트가 나왔네요 저희집은 좀비PC 즉 넷봇이 깔려있나봅니다 ㅠㅡㅠ

아 슬프네요......

일단 아이피를 가려드린것은 죄송합니다... 

현재 사용중인 컴퓨터가 개인서버로 사용중인 컴퓨터입니다

그러다보니 보안을 위하여 IP를가려야합니다...양해 부탁드립니다...

에고 좀비PC걸렸네요 치료를 해야할까요???

그럼 이번엔 대기 포트를 한번볼까요??

즉 포트를 열어둔 포트를 확인하는 것입니다 netstat -a한번쳐봅니다



KATAORG01로 8080포트가 열려있는것을 확인할수있습니다.

이유는 간단합니다.

저희집 IIS 서버와 아파치 서버 모두를 사용중입니다. 그런데

일단 IIS 서버가 메인으로 사용중이기 때문에 당연히 IIS 서버는 포트를 80번 포트로

사용하였습니다
 
그러다보니 아파치 서버를 다른포트로 잡아야하는데 그냥 보기도 편하고

쿨하게 80하나더붙어

8080포트로잡았습니다(참고로 HTTP 포트는 80입니다)

즉 저 8080포트는 넷봇이아닌 제가 직접 연 포트입니다 ㅡㅡ;;;

즉 저뿐만 아니라 많은 분들이 8080과 8000번은 이런방법으로 잘사용한다는 것입니다.

즉 포트번호로는 확인이 불가능합니다.

그리고 한가지 말씀드리고 픈건 그렇다고해서 8080과 8000번이

넷봇에 감염됬다고 할수도없습니다 ㅎㅎ(아이러니하지요??)

(저희집은 바이러스가 없습니다 ㅇㅅㅇ)



그렇다면?? 전문가가아닌 일반사람은 포트를 열일이 없으니 넷봇이나니냐??

포트를 여는일은 개인이 아니여도 충분히 열립니다.

예전에는 8080포트와 8000포트 정말 많이 사용했습니다.

그런데 요즘따라 안쓰는거지 현재에도 8천번대 포트는 많이 사용됩니다

그리고 포트가 열리는 것에 대해 예기를 하자면

대표적인 예로 네이트온은 5004번 포트사용중인걸로압니다

게임 던전엔파이터의 경우는 10081번 사용중입니다...

그외에도 많은 포트들이 개인 프로그램에서 사용됩니다.

즉 포트는 규칙이없고 개발자마다 그냥이거쓸레하면 그게 되는겁니다

또한 프로그램 중에 업데이트가 되는 프로그램있지요??

요즘 정말 자질구리한것도 업데이트가 됩니다. 이러한 프로그램들

모두 포트를 열게되는데 즉 그프로그램 중 어느 하나가 쓰일수도있다는 말입니다.

넷봇도 같은 원리입니다. 8080 8000번이 아니더라도 넷봇일수있고

8080,8000번이 넷봇일수도있습니다..

즉 그냥 포트번호갖고는 확인안됩니다. 전문가라도 아 그냥 열려있구나 하는것입니다.


즉 현혹되지 마십시요 넷봇을 포트번호로 확인방법은 정말 미련한짓입니다...






(펌 : http://www.boho.or.kr/pccheck/pcch_03.jsp?page_id=3)

그럼 넷봇 확인방법을 알려달라??



 그 부분은 제가 작년에 나름 자세히 써뒀습니다

유저들의 무관심에 일어난 굴욕 DDOS사태

http://katarog.tistory.com/74 

여기에 가면 있습니다 그래도 귀찮으신분들을 위해 간단한 방법을 말씀드리자면


일단 V3나 알약과같은 프로그램을 설치하신후 커뮤터 종료후 부팅댈시

F8을 누룹니다 그럼 검은바탕에 3번째줄에 안전모드라고 있을겁니다

이것으로 붙이한후 V3나 알약으로 검사를합니다. 그리고 악성코드나 바이러스가

안나오셨다면 왠만해서 그컴퓨터는 감염안됬습니다

만약 엄청나오신다면 솔직한 입장으로 포멧추천드립니다....

제가 정말 많은 컴퓨터 봤지만 심한 바이러스는 치료불가능합니다. 그냥 맘비우시고

포멧하세요....

그리고 검사를하시고 봇이 안나왔는데 불안하시면

보호나라라는 사이트가있습니다

그곳에 가시면 악성 봇 감염 확인이란대가있습니다

거기를 클릭하시면 자신의 컴퓨터가 정말 간단하게 봇감염 DB에 있는지 없는지가 나옵니다

만약 있다면 아직까지 악성봇활동을 하지 않았다는것입니다



마치면서

 솔직한 입장으로 현재 보안에대한 열풍이 부는것은 정말 기분이 좋습니다

우리나라의 고질적 문제가 불법프로그램을 사용하다보니 업데이트 안하고말지라는

생각을 갖고있으신 분들이 많습니다...

그러다보니 바이러스의 감염된 컴퓨터들이 많아지며 진짜 간단한 툴이고 발견하기

쉬운 넷봇 즉 좀비PC 까지도니 컴퓨터들이 많아졌다는 것입니다..

그런데 그런것들이 인제는 줄어들수 있는 열풍이 분다니 한편으로는 기분이 좋습니다.

오늘 글을 쓰면서 느낀것이 다음 글은 바이러스에 대한 종류와 예방법에 대해

쓰는것이 좋을거란 생각이 듭니다

그래서 다음글은 넷봇뿐만 아니라 그외 바이러스와 해킹방법 등에 대해

자세히 설명드리겠습니다.

유저들의 무관심에 일어난 굴욕 DDOS사태http://katarog.tistory.com/74 

DDOS라는 해킹수법이 있습니다.

작년 아이템XX라는 사이트가 당했던 이력이있으며

금년 엊그제 정부 사이트와 네이버 보기좋게 당했습니다.

그러한 이유로  현재 작성하고 있던 티맥스 윈도우리뷰를 접고

DDOS에 대해 쓰기로 마음 먹었습니다.

 일단 먼저 말씀드리자면 DDOS에 정부기관, 주요사이트가 당했다는 것은

한마디로 일관하자면 굴욕입니다...

그 대상자가 사이트의 주인이 아닌 컴퓨터의 주인 여러분 한분 한분이

굴욕이라 전 생각합니다..
 



1. DDOS란 무엇이냐.

 DDOS란 트래픽 공격수법으로 공격수법중에서도 제일 간단한 방법중 하나입니다.

 일반 컴퓨터에 악성코드나 백도어같은 프로그램을 심어 놓고 

심어놓은 컴퓨터를 조정하여 한번에 사이트에 접속하게하여 트래픽을 오버시켜

사이트를 마비시키는 방법입니다..

방법이 정말 간단하지요?

당하는 이유또한 간단합니다.ㅎ

기본적으로 거대 포털사이트의 DDOS의 공격대상이 되기 위해서는 

최소 몇천에서 최대 몇만대의 컴퓨터가 동시에 접속을 해야만합니다.

그 말은 그 몇천대 몇만대의 컴퓨터가 악성코드 혹은 백도어같은 프로그램이

심어져 있다는 것이지요.

또 하나 사이트를 공격한 몇천 몇만대의 컴퓨터는 제 예상이 맞다면

90%이상 국내 컴퓨터일 겁니다.

하여튼 이렇게 악성코드 혹은 백도어가 심어진 컴퓨터를 소히 좀비컴이라 불립니다 ㅎ

<조인스 뉴스 펌>



2. 백신은 절대 바이러스를 이기지 못한다.
 
 여기서 한가지 짚고 넘어가야할 점은 절대 바이러스는 인간의 바이러스와

똑같지 않으며 바이러스는 백신을 상대로 백전 백승의 전승을 거둔다는 것입니다.

 백신이 바이러스를 막는 방법은 간단합니다.

 첫번째 방법은 제일 빈도가 적은 방법으로 바이러스를 개발한 자의 이름과 같은것을 뽑아내

어 막는 방법입니다.

 이 방법은 과시를 위해 만들어놓은 바이러스에는 그 바이러스 제작자 만의 코드가 담겨져있

습니다.

 백신은 이 것을 찾아 이 명칭이 들어간 바이러스를 제거하는 것입니다.

 두번째 안은 프로그램의 다운 혹은 이동시 그 프로그램을 뜯어보고

바이러스와 비슷한 코드가 있을경우 삭제하는 방법입니다.

이 방법은 프로그램안에 바이러스가 심어져있을 경우 사용되는 방법으로 

백신에 미리 입력된 루트대로 파일을 복사하거나 손상을 줄시

새로운 바이러스가 되고 그 결과 백신에 안걸린다는 말이지요.

그래서 백신과 바이러스의 대결은 백전 백 패일 수 밖에 없습니다.

 그러나 요즘 바이러스와 악성코드에 걸릴확률이 줄어든 것은 수년간의 바이러스형 코드가

DB화 되어 있기 때문입니다 ㅎ

 그렇기 때문에 다양한 루트들의 소스들이 저장되어있으며

그 결과 바이러스 제작은 점차 어려움을 느끼고 찾아내는 빈도수도 늘어난 것입니다.

 그러나 한가지 말씀드리고 싶은점은 컴퓨터에서의 바이러스와 일반프로그램은

종이한장 차이이며 맘만먹고 조금만 변경한다면 바이러스가 되고 안걸리게 만드는것쯤

맘만 먹으면 1,2틀안에 해결 볼 수 있다는 말입니다 ㅎ




3. 그렇다면 백전 백패하는 백신 속 DDOS 무엇이 문제냐

 DDOS 정말 간단한 수법이지만 아군을 현혹시켜 뒤통수를 갈긴다라 말할 수 있는

공격 방법입니다.

 그 말은 즉 컴퓨터의 소유자 한분 한분이 컴퓨터를 잘못 관리하여
 
악성코드가 심어졌고 그 결과 국내 서버를 공격하게 되는 바보같은 짓을 당하게 된것입니다.

위에서도 언급햇듯이 DDOS는 단순한 수법이며

그 만큼 간단히 예방도 가능하다 말 할 수 있습니다....


1) DDOS의 공격컴퓨터는 해외컴?

 DDOS는 위에서도 말했듯이 남의 컴퓨터를 이용하는 방식입니다.

 제가 엊그제 일어나 사태에서 처음 DDOS기사를 접했을시 언론사에서는

이런말을 했습니다.

북한 혹은 중국에서 대대적 공격을 했다.

 이 말은 조금은 잘못된 말입니다.

만약 공격의 조정자가 중국과 북한이라면 그럴수 있겠지만

북한과 중국에서 모든 컴퓨터들이 들이댔다는 것은 말이 안되는 말입니다 ㅎ

 그 이유를 설명드리자면 해외에서 국내로 국내에서 해외로 나가는 선로는 제가알기론

2내지 3개이며 이 모든 정보들은 중앙 기지국을 거쳐 나가게 됩니다.

정말 해외에서 이런공격을 했다고하면 

중앙 기지국에서 해외쪽 IP를 모두 막아버리면 됩니다.

IP는 국가마다 틀리게 배정되기 때문이죠..

 그러나 이말 역시 조금은 말이 안되지요 ㅎ?

 그렇게 한다면 전세계 누리꾼 모두가 들어오지 못하는 사태가 벌어질수도 있으니...

그래서 선택하는 것이 사이트 서버에서 IP를 막는 방법입니다.

대부분 이러한 방법을 쓰는데 아마 이번사태때도 일단 서버에서 해외쪽 IP 는 모두

막았을겁니다.

 

2) 공격군은 국내에 있다!!!

 그렇담 결론이 나오지요?

DDOS의 좀비컴퓨터들이 국내에 있기 때문입니다

공격자가 해외에 있건 국내에 있건 일단 공격대상자는 국민 하나하나가 된 것입니다.

 인제 좀 사태가 인지가 되시나요??

네이버에 접속안되고 청와대에 접속이 안되 아놔 서버 관리 X같이 하네 했던 것들이

알고보면 여러분 한면 한명의 소중한 컴퓨터로 이렇게 됬을 수도 있다는 말입니다.



 

4. 그렇다면 해결방법은?

  엄청난 파급을 불러일으킨 DDOS는 위에서도 말했듯이 간단한 수법이며

간단하게 방지도 가능합니다.

그 방법에는 4가지로 나뉠수 있습니다.


1) 국내 DB 악성봇 확인해라

http://www.boho.or.kr/ 

보안나라에 들어가게 되면 악성봇 대상을 확인하십시요

이 곳은 국내에 악성봇에 의해 공격을했던 IP들을 DB화해 놓은 곳입니다

이 곳에서 좀비컴 유무를 확인 해주십시오

참고로 말씀드리자면 여기에 올라와있고 안올라있는 것이 좀비컴의 유무를 설명하는

것은 아닙니다.

그말은 여기 DB없다고 해서 자신의 컴퓨터가 좀비컴이

됬을수도 있고 안됬을수도 있다는 말입니다

이 곳에있는 IP주소는 여태까지 일어났으며 발견된 IP를 대상으로 DB화 해논것이지

좀비컴 전부가 포함되어 있는 것은 아닙니다.




2) 윈도우 보안패치를 수단과 방법을 가리지말고 하십시요

 윈도우 구입하시라는 예기는 안하겠습니다.

그러나 불법으로 받으셨으면 수단과 방법을 가리지마시고

100%성능을 쓰셔야 하지 않을까요?

현재 윈도우 정품인증 간단한 검색으로 가능합니다.

윈도우를 새로 구입하라는 예기는 안하겠습니다. 보안패치 어떻게든 받으십시요.

윈도우 보안패치 그까짓것이라고 무시해주는 순간 좀비컴이 되있을 수도 있습니다.

많은 유저들이 MS를 무시하지만 MS가 그리 호락호락한 회사는 아닙니다.




3) 각종 무료 백신유틸을 사용하십시요

 유료 백신당연히 좋지만 한국이라는 나라는 70%의 불법으로 이루어진 나라이다보니...

역시 구입하라는 소리는 안하겠습니다.

차선책인 무료 백신 유틸을 사용하십시요.

v3 Lite와 알약과 같은 좋은 무료 백신이 존재합니다. 

유료와 무료의 차이는 종이한장차이이며 DDOS와 같은 간단한

악성코드는 이러한 것들로도 치료가 가능합니다.

또한 현재 안연구소 또한 공격대상이 된것으로 알고 있습니다.

그 말은 안연구소는 현재 눈에 불을 켜고 DDOS에 대해 조사를 하고 있으며

제가 알기로는 DDOS 악성코드를 잡을수 있다고 알고있습니다.

무료백신을 이용하여 지금당장 컴퓨터를 검사해보십시요



4) 검증되지 않은 아무 자료나 받지 마십시요

 대부분의 바이러스 걸리는 경로는 자료의 다운과 그것을 받기위해 접속하는 사이트입니다

아마 노래나 프로그램같은 것을 받으려고 사이트같은데 접속하셨을겁니다.

그러면 뜨는 한가지가 있지요??

Active X 설치

대부분 바이러스는 자료에 의해 걸리는 시대는 지났습니다..

요즘 업로드와 다운로드를 위해서는 기본적으로 사이트에서 바이러스검사를 다 해주며

OS내에서 조차 백신 프로그램으로 검사를 또하기 때문에 자료에 의해 걸리는 일은 없습니다

그러나 홈페이지 접속시 설치하는 Active X 이넘이 제일 큰 문제인데...

Active X 설치 뜨시면 아마 습관처럼 확인 Or 설치 누루시지요...
 
그 습관을 검색화하는 것으로 바꿔주십시요

 Active x 잘못설치하면 좀비컴뿐만아니고 개인정보까지 다 털릴 수 있습니다....

그리고 또하나 불법 게임에 사용되는 크랙 조심히서 받아 주십시요.

불법으로 받지 말라는 말은 안하겠습니다. 

누구보다 현재 한국을 잘알고 있다 생각하는 유저중 한명이니깐요 ㅎ

 다만 크랙 덮어씌우기전 키젠과 같은 프로그램 중 바이러스에 잡히는

프로그램이 있다면 게임에 현혹대지 마시고  가차없이 지워주십시요...

 바이러스 프로그램은 실행시키는 순간 퍼집니다...

뇌가 마비되고 더블클릭 OR 엔터를 누루는 순간 컴퓨터는 좀비컴 혹은 개인정보를

빼주는 유용한 컴퓨터가 되어있을것이며 그렇게 된 순간 복구는 불가능합니다.



5) 만약 컴퓨터가 성능이상으로 느려졌다면 포멧하십시요.

 절대 바이러스가 퍼져버린 컴퓨터는 찾기도 힘들뿐더로 복구도 힘듭니다.

좀비컴에 걸리는 순간 특징은 한가지로 축약됩니다. 프로그램을 강제로 실행시키며

연속적으로 사이트를 들락날락거리기 때문에

컴퓨터가 성능이상으로 느려진다는 특징이 있습니다.

만약 컴퓨터가 성능이상으로 느려졌다면

중요한자료정도는 웹하드와 같은곳에 보관하시고 바로 포멧들어가십시요

보안나라에서 확인을 했을시 악성봇이 아니더라도 하십시요

그건 단순히 DB를 갖고있는것이지 모든 정보를 갖고있는것이 아닙니다.



6) 포멧은 6~1년에 한번식
 저는 제 주위사람들에게 그런 예기를 자주합니다

A: 컴퓨터 고장났어

저: 포멧한지 얼마나댔는데

A: 1년정도?

저: 생각하지말고 포멧해...

 개인적인 생각이지만 컴퓨터 OS는 오래사용할수록 점점 변하게 되고 느려지게됩니다.

그리고 쓸모없는 프로그램들이 쌓이지요..

그리고 또 하나 보안 전문가라도 100% 악성코드를 막을수는없습니다.

그 말은 숨겨져있는 악성코드 Or 바이러스가 존재할수 있다는 말입니다.

만약 OS를 6~1년 정도 사용하셨다면 포멧하십시요

그리고 백업을 생활화 하십시요...

OS를 너무 믿어서는 안됩니다.




마무리.

개인적으로 언젠간 이런사태가 발생하리라 생각은 하고 있었지만 생각보다 일찍왔습니다

 현재까지도 국내사이트 여러곳이 당하고 있습니다.

마무리는 한마디만 하고 끝날까 생각합니다...

DDOS는 아군이 아군을 공격하는 방법으로 당하는 사람에게 있어 참으로

어의없는 수법입니다..

만약 제 글을 봤더라면 해결책들을 따라하시면서

좀비컴 유무를 확인해주시고 치료해주시길 바라겠습니다...

마치면서... 한마디 더 하자면...

제가 지식이 모자라 그런지는 모르겠지만.

이번 DDOS의 뒷배경에 북한이 있다 밝히는 점은

좀 이상한점이 없잖아 있습니다 ㅎㅎ...

근거가있냐고요...

음... 그냥 그렇다고요 ㅎㅎ



------------------------------------------------------------------------------

마치며 원래 이번주에는 요번주 화요일에 있었던

티맥스 윈도우 리뷰를 할 예정이었습니다 ㅎ

그러나 IT를 대상으로하는 블로그인 만큼 DDOS에 대해 써야한다 생각하고

썻습니다

이번주 토요일이나 일요일 티맥스 윈도우 혹은 윈도우7 혹은 쿠키폰 리뷰를하겠습니다 ^^