본문 바로가기

주저리주저리

스팸메일 발송처 추적(?)

예전에 다음에서 3.4이벤트[각주:1]를 할때 만들어 두었던 4글자 아이디가 있다.
하지만 나한텐 이미 97년에 가입해서 사용하던 아이디(물론 스팸메일 떡실신에 2년전부터는 쥐메일을 주로 쓰지만)가 있어서 새로만든 아이디는 지극히 사적인 용도에만 쓰였었다.

즉, 누구한테 단한번도 알려주거나 한 적이 없이 묻어두었던 메일 주소라 웬만해선 스팸메일이 오지 않는다. 다만 아이디 자체가 일종의 고유명사라 무작위로 보내는 스팸은 어쩔수가 없다. -.- 뭐. 이거까진 좋다 이거야.

사용자 삽입 이미지

쏟아지는 '메일 전송 실패 알림'메일


사용자 삽입 이미지

내가 보냈단다


어제부턴가 네이버 메일에서 수신자가 날 거부했다는 메일을 보내기 시작했다.

난 보낸적이 없는데??

이게 뭔 소린가 싶어 원본 메일을 살펴봤다.

사용자 삽입 이미지

반송된 메일의 내용


테이블 태그에 웬 이상한 주소가 있어 들어가봤지만 흰 페이지만 보인다. 여기에서 포기할 내가 아니다.'ㅅ' 뒷주소를 지우고 접속해 보았다.

http://reject.co.kr/naver/
http://reject.co.kr/daum/

폴더 내의 파일 목록이 그대로 뜬다. 보통은 403 Forbidden error가 뜰텐데=ㅅ=
아까 나를 낚았던 파일 이름이 open.php, 뭔가 수상한 파일이 하나 더 있는데 open_list.php.
접속했다.

http://reject.co.kr/naver/open_list.php
http://reject.co.kr/daum/open_list.php

미루어 보건대, 수신거부되어 돌아온 메일주소를 언제 확인했는지 조사하는 듯 하다.
올커니!

사건개요
사용자 삽입 이미지

움직이지마! 지금부터 움직이는 새끼는 다 범인이야! (기억하시는 분이 있을까...)


1. 가지고 있는 네이버메일 리스트(To)에 일반 사람들이 실사용할만한 메일주소를 발송자(From)로 하여 막 뿌렸다.

2. 네이버 메일 시스템에선 '<table background="메일주소"~~~~'만 적혀서 온 메일을 스팸메일로 판단하여 반송시킨다.

3. 반송된 메일은 1에서의 사람들이 실사용할만한 메일주소로 들어가게 되고 그 메일 내용은 반송 안내 이므로 스팸메일로 걸러지지 않는다.

4. 메일목록을 보던 사람들(나)은 '이게 뭐지-.-'하며 클릭하게 되고 클릭하는 순간 <table>태그에 의해 반송된 메일주소가 reject.co.kr에 집계 된다.

5. 스팸 뿌린 애들은 나중에 open_list.php만 열어 주워 담으면 수신거부된 리스트를 확보하게 되는 것. -끗-


그렇담 이놈들의 정체는 뭐냐..
일단 간단히 reject.co.kr에 접속해봤다. 자동으로 naver.com으로 포워딩 된다; 어라;
쫄지않고 whois 조회를 해봤다.

사용자 삽입 이미지

whois 조회


이미지피아.. 박장수.. adfree09@gmail.com..
뭔가 냄새가 난다. 그렇담 이놈들은 대체 어디서 메일을 보내는 거냐.. 아이피 주소 조회를 해봤다.
근데 한국아이피가 아니고 북미아이피라며 http://ws.arin.net/whois/ 에서 조회를 해보란다. 해봤지.

사용자 삽입 이미지

LA??


웬 LA?? 아이피주소 주인이라는 www.coreexpress.net에 마지막으로 접속해봤다.

사용자 삽입 이미지

www.coreexpress.net


LA에 있는 호스팅업체인것 같다.

아하.

정리하자면,

한국에 있는 이미지피아의 박장수(모르지.. 가명일지도..)를 필두로한 그룹이 미국 LA에 있는 업체에서 호스팅을 받아서 reject.co.kr도메인 연결을 해두고, 그 서버를 통해 가지고 있는 네이버 메일 리스트로 스팸메일을 발송 한 것.

여기까지 하고 보니 신고가 하고 싶어졌는데...
다음 메일에서는 개별 메일에 대한 신고만 있지 이런 상세한 내용을 담아서 신고를 할만한 곳이 안보였다. 더 알아볼까 하다가 급 귀찮아져서 관뒀다. -_-

끗;


ps.
[NIMBY] 아 왜 하필 내 메일주소로 보낸거야!!! ^#$&$#&%#$%!!!

ps2.
http://reject.co.kr/naver/open.php?user_id=메일주소 에서
메일주소 자리에 sql 쿼리문을 넣으면 저 놈들 db 테이블을 날리거나 위변조 시킬수 있을 것 같은데...
(전형적인 제로보드 해킹(?)법)
실제로 어떻게 하는지는 모른다..-ㅅ-;
  1. 3~4글자 아이디 또는 .이 포함된 아이디도 생성가능 [본문으로]