'케이티'에 해당되는 글 1건
- 2009/08/19 KT DNS 서버가 이상합니다. (9)
아는 분께서 rapidshare.com 접속이 안 되신다 하여 저도 들어가 봤는데 이상한 메시지가 뜹니다.
뭔가 사건의 예감(?)을 느낀 저는 좀 더 조사해 보기로 했습니다.
다른 지인들에게도 접속을 부탁드려 봤는데,
KT DNS 서버(kns.kornet.net, kns2.kornet.net)를 사용하는 QOOK 인터넷 사용자만 저런 메시지가 뜬다는 놀라운 사실을 발견했습니다.
실제로 qns1.hananet.net을 비롯한 타 DNS 서버를 사용해 쿼리를 해보면 정상적인 주소가 나옵니다.
저 211.233.91.10이라는 아이피가 신경 쓰여서 구글링을 해보면 두 가지 사실을 알 수 있습니다.
1. 과거 Win32/IRCBot.worm.42827 웜이 접속했던 중앙 서버와 같은 IP
(출처: http://r00th1ck.tistory.com/attachment/499edf764a902BK.pdf)
2. 악성 Bot의 중앙 서버 접속을 차단하기 위한 싱크홀 IP
(출처: http://www.krcert.or.kr/firewall2/fwDown2.jsp?fkind=888)
하지만 rapidshare가 중앙 서버였을 리는 만무합니다.
아무래도 rapidshare에 업로드된 데이터를 이용하는 웜을 차단하기 위해 IP를 돌렸거나,
아니면 KT DNS가 당했거나 둘 중에 하나겠죠?
일단 지켜보렵니다..
뭔가 사건의 예감(?)을 느낀 저는 좀 더 조사해 보기로 했습니다.
다른 지인들에게도 접속을 부탁드려 봤는데,
KT DNS 서버(kns.kornet.net, kns2.kornet.net)를 사용하는 QOOK 인터넷 사용자만 저런 메시지가 뜬다는 놀라운 사실을 발견했습니다.
실제로 qns1.hananet.net을 비롯한 타 DNS 서버를 사용해 쿼리를 해보면 정상적인 주소가 나옵니다.
저 211.233.91.10이라는 아이피가 신경 쓰여서 구글링을 해보면 두 가지 사실을 알 수 있습니다.
1. 과거 Win32/IRCBot.worm.42827 웜이 접속했던 중앙 서버와 같은 IP
 MalwareAnalysis_R00TH1ck.pdf |
2. 악성 Bot의 중앙 서버 접속을 차단하기 위한 싱크홀 IP
| BotNetSinkHole.pdf |
하지만 rapidshare가 중앙 서버였을 리는 만무합니다.
아무래도 rapidshare에 업로드된 데이터를 이용하는 웜을 차단하기 위해 IP를 돌렸거나,
아니면 KT DNS가 당했거나 둘 중에 하나겠죠?
일단 지켜보렵니다..
Trackback 0 And
Comment 9
