KBS 웹 사이트 해킹? DNS 오류? 직원 실수?

Posted 2009/07/09 21:06 by silverbug
KBS 접속 하니 네이버로 이동한다????

사이버 테러 DDOS 문제로 골치 아픈 시국에... 또 다른 해킹이 퍼지는건 아닌가..
급 신경이 곤두선 가운데, 분석을 해보았다..

(인터넷 커뮤니티에서 해킹 아니냐. kbs가 해킹 당한건가?? 트래픽 몰아주기(?)냐.. 말들이 많아서, 미리 사전 대응책도 마련할 겸 분석해보았다.)


인터넷 커뮤니티에서 많은 사람들이 네이버로 접속한다고 해서, 분석 해 본 결과 해킹은 아닌 것으로 추정된다.

아래 분석을 통해 확인해보면 다음과 같다.

정상적인 kbs ip
#ping kbs.co.kr
Pinging kbs.co.kr [211.233.32.35] with 32 bytes of data:
Reply from 211.233.32.35: bytes=32 time=17ms TTL=241

바뀐 kbs ip
#ping kbs.co.kr
Pinging kbs.co.kr [116.126.87.xx] with 32 bytes of data:
Reply from 116.126.87.xx: bytes=32 time=17ms


kbs.co.kr을 wget 을 통해 페이지를 긁어와봤다.

fw:tmp {108} wget http://www.kbs.co.kr/
--2009-07-09 20:35:40--  http://www.kbs.co.kr/
Resolving www.kbs.co.kr... 116.126.87.xx
Connecting to www.kbs.co.kr|116.126.87.xx|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: `index.html'

    [ <=>                                   ] 198         --.-K/s   in 0s

아래와 같이, 네이버로 프레임이 이동한걸 볼 수가 있다.

fw:tmp {128} cat index.html
<HTML>
<HEAD>
<meta http-equiv="Content-Type" content="text/html; charset=euc-kr">
<TITLE>안녕하세요</TITLE>
</HEAD>
<FRAMESET ROWS="100%,*" border=0>
<FRAME src=http://naver.com></FRAMESET>
</HTML>

처음에는 해킹을 의심했으나, 여러 분석 끝에 DNS 문제로 추정되었다.

DNS 문제라 추정하고, kbs.co.kr 후이즈 검색을 통해 등록된 네임서버로 접속하여, 확인해보았더니 역시나, kbs 아이피가 아닌 다른 116.126.87.xx 아이피 주소가 찍혔다.

ns1.whoisdomain.kr 로 등록되어 있었다.

위 네임서버로 검색된, 도메인들을 찾아 검색해본 결과, 후이즈 도메인 포워딩 서비스인걸 확인할 수가 있었다.

[변경 된 IP]
fw:tmp {125} nslookup
> server ns1.whoisdomain.kr
Default server: ns1.whoisdomain.kr
Address: 218.50.6.252#53
> kbs.co.kr
Server:         ns1.whoisdomain.kr
Address:        218.50.6.252#53

Name:   kbs.co.kr
Address: 116.126.87.xx

[아직 변경되지 않은 IP]
fw:tmp {133} nslookup
> server 164.124.101.2
Default server: 164.124.101.2
Address: 164.124.101.2#53
> kbs.co.kr
Server:         164.124.101.2
Address:        164.124.101.2#53

Non-authoritative answer:
Name:   kbs.co.kr
Address: 211.233.32.35


kbs.co.kr에 접속이 될때가 있고, 네이버로 이동할 때가 있고 각각 틀린것은 네임서버가 여러군데에 많이 있는데, 그 전체 서버들이 아직 전부 적용이 되지 않은 이유 때문이다.

[후이즈 정보]

문제 된 시점에서의 후이즈 결과
#whois -h whois.nic.or.kr kbs.co.kr
[whois.nic.or.kr]

query: kbs.co.kr

# KOREAN

도메인이름                : kbs.co.kr
등록인                    : 한국방송공사
등록인 주소               : 서울 영등포구 여의도동 한국방송공사 18번지
등록인 우편번호           : 150790
책임자                    : 한국방송공사
책임자 전자우편           : domain@kbs.co.kr
책임자 전화번호           : 02-781-2753
등록일                    : 1994. 06. 20.
최근 정보 변경일          : 2009. 07. 09.
사용 종료일               : 2009. 10. 15.
정보공개여부              : Y
등록대행자                : (주)후이즈(http://whois.co.kr)

1차 네임서버 정보
   호스트이름             : ns1.whoisdomain.kr


문제 해결 후 후이즈 결과
#whois -h whois.nic.or.kr kbs.co.kr
[whois.nic.or.kr]

query: kbs.co.kr

# KOREAN

도메인이름                : kbs.co.kr
등록인                    : 한국방송공사
등록인 주소               : 서울 영등포구 여의도동 한국방송공사 18번지
등록인 우편번호           : 150790
책임자                    : 한국방송공사
책임자 전자우편           : domain@kbs.co.kr
책임자 전화번호           : 02-781-2753
등록일                    : 1994. 06. 20.
최근 정보 변경일          : 2009. 07. 09.
사용 종료일               : 2009. 10. 15.
정보공개여부              : Y
등록대행자                : (주)후이즈(http://whois.co.kr)

1차 네임서버 정보
   호스트이름             : kbsnt.kbs.co.kr


네임서버 정보는 누가 바꿨을까? 응? 누구? 응? 누가 바꿨을까!! 독해~~~


후이즈 실수인가?!!
후이즈에 등록된 kbs 계정을 누군가 훔쳐서 바꾼것인가?

아직도 의문점이 남긴하다. 며느리도 몰라

급하게 쓰느라 글이 ㅠ.ㅠ.ㅠ.ㅠ.ㅠ.

결론은.. kbs.co.kr 네임서버가 포워딩 서비스로 되어 있어서, 위와 같은 문제가 생겼다입니다.


// 추가
글쓴 시간 9시 10분경.... 현재 KBS가 정상적으로 동작한다.

역쉬나 도메인 네임서버 설정이 포워딩 서비스로 이동한거였군..

//추가
DNS서버가 당했다라고 말씀하시는 분들이 있는데...
DNS 서버가 당한건 아니고...  도메인 정보(네임서버 부분)가 변경(후이즈 포워딩 네임서버)으로.. kbs.co.kr 도메인이 후이즈 포워딩 서비스로 잠시 등록된겁니다.

즉 해킹이라면, 후이즈에 있는 KBS계정이 해킹당했을것이고...
실수라면........... 도메인 관리자(후이즈 또는 KBS 도메인 담당자) 실수겠죠..

Filed under : Hacking/Web
Comment   1 Trackback
« PREV : 1 : ... 4 : 5 : 6 : 7 : 8 : 9 : 10 : 11 : 12 : ... 30 : NEXT »