더 수상한 건 조회를 시도한 서브 도메인 고유 개수가 트래픽 발생 개수와 같다. (lunrac.com의 경우) 145개의 서로 다른 서브 도메인에 한 번씩만 접속했다는 얘기. 뭐 하는 도메인이지? 하지만 구글링 해봐도 좀 수상쩍다 수준의 언급 뿐.
HTTP 트래픽 내역을 살펴봤다. 전부 크롬 웹브라우저 짓.
도메인별 접속 경로가 모두 비슷한 것도 수상. 악성코드인가? 내 PC가 좀비? 무서워서 웹브라우저 대신 curl로 접속해봤다.
ok? true? 뭔가 상태 체크하는 느낌인데? 크롬이 왜 저 많은 도메인을 체크할까? 다음은 해당 도메인들의 IP 위치 정보. 글로벌하다. 이게 봇넷 통신이면 대박!
lunrac.com |
tcdn.me |
물론 그럴 가능성은 낮고, 그렇다고 구글이 사용자 자원으로 딴 짓 할 리도 없고? 현재 의심 가는 건 크롬 확장 프로그램. 그중에서도 Browsec VPN. 전세계에 흩어져 있는 프록시 서버 상태 체크 트래픽이 아닐까 싶다. 삭제했으니 발생 패턴대로면 내일이면 알게 되겠지.
20.04.13
범인은 Browsec VPN
관련 글
댓글 없음:
댓글 쓰기