세이브일베 세이브 일베 saveilbe 운영자

세이브 일베의 운영자의 정체

세이브 일베의 불법행위

타 사이트의 게시물을 무단으로 복제(미러링), 저작권 위반

글을 지우려면 돈을 요구하는 협박행위, 물론 세금도 안냈으므로 탈세행위

돈을 내지 않는 사람들의 이메일과 그들이 쓴 글을 공개하는 개인정보 유포

koreanbjwebcam.com 이라는 사이트를 운영, 음란물 유포

세이브 일베 운영자를 밝혀낸 과정

세이브일베는 cloudflare를 이용해 진짜 ip를 숨기고 있다.
하지만 crimeflare라는 사이트를 이용하면 cloudflare뒤에 있는 서버의 진짜 ip를 알 수 있다.(작동하지 않는 사이트도 많다)

2016-02-08에 170.75.163.69라는 ip를 사용했던 것을 알 수 있다.

하지만 이 ip는 개인 컴퓨터의 ip가 아니라 캐나다에 있는 호스팅 업체 lunanode의 ip라는 것을 알 수 있다.
외국 호스팅 업체를 사용하기에 여기서 더 정보를 알아낼수는 없다고 생각했지만
웹브라우저에 170.75.163.69 를 치고 접속해보면 아파치 웹서버 기본 페이지가 뜬다.
혹시나 해서 170.75.163.69/saveilbe라는 url을 치고 들어가보니

놀랍게도 옛날 버전의 세이브 일베 파일들이 있었다.
하지만 여기에서 세이브 일베 운영자를 잡을만한 결정적인 증거를 찾기는 어려웠다.
그러다가 세이브 일베의 광고를 주목했다.

바로 koreanbjwebcam.com 이라는 사이트였다.
koreanbjwebcam.com이라는 사이트는 음란물을 유포하고 있는 사이트이지만 이를 이용해 특별한 수익을 얻는 것으로 보이지는 않았다.
수익도 없는데 돈을 내면서까지 광고 할리가 없다. 혹시 saveilbe.com과 koreanbjwebcam.com의 운영자가 같은 것이 아닐까? 라는 생각을 하게 되었다.
세이브 일베의 소스를 보던 중 google analytics를 사용하고 있는 것을 보았다 google analytics는 웹사이트를 방문하는 사람들의 통계를 집계해주는 구글의 서비스이다.
여기서 중요한 점은 google analytics에서 사용하는 tracking id 이다.
UA-AAAAAA-BB 의 형식을 취하고 있는 tracking id는 같은 구글 계정에 의해 생성된 경우 같은 AAAAAA를 가지게 되며 BB는 사이트 번호이다.

tracking id를 비교해보면 결국 saveilbe.com과 koreanbjwebcam.com은 같은 운영자가 운영하고 있음이 명백해졌다.
그래서 보안이 철저해보이는 saveilbe.com 대신 koreanbjwebcam.com를 조사하였다. koreanbjwebcam.com은 워드프레스로 운영하고 있었고 워드프레스의 디렉터리 구조는 어느정도 정형화되어있다.
브라우저에 koreanbjwebcam.com/wp-content/plugins/hello.php 를 쳐보니

php 에러가 뜨면서 리눅스 계정 이름(윈도우로 치면 로그인할 때 뜨는 이름)이 seobukor이라는 것을 알 수 있다. 일단 여기서 seobukor이라는 단서를 찾았다.
다시 170.75.163.69로 돌아와서 또 다른 숨겨진 url이 있는지 검사를 해 본 결과

170.75.163.69/backup/ 이라는 url이 접속 가능하다는 사실을 발견했다.

여기에서 htmltojavascript라는 폴더가 하나 뜨는데 이 폴더를 클릭하면 htmltojavascript.com 이라는 사이트로 이동하게 된다.

즉 세이브 일베 운영자는 htmltojavascript.com 이라는 사이트도 운영하고 있었다.

세 사이트의 도메인 정보를 보면 모두 namesilo라는 업체를 이용해 도메인을 등록했다는 것을 볼 수 있다.
그리고 여기서 결정적인 단서가 등장한다
세이브 일베 운영자 입장에서는 안타깝겠지만 htmltojavascript.com 은 cloudflare을 이용해 진짜 ip를 숨기고 있지 않다

스캔 결과 saveilbe.com과 열린 포트도 비슷하다는 사실도 알 수 있고 진짜 ip 167.88.166.54 도 알아낼 수 있었다.
진짜 ip 167.88.166.54 를 구글에 검색해 보면
링크
같은 ip로 seobuk.org라는 사이트를 운영하고 있는 사실도 알 수 있다.

다시 한 번 확인해봐도 htmltojavascript.com과 ip 주소가 동일하다
koreanbjwebcam.com 의 php 에러에서 나타난 seobukor과 seobuk.org 라는 사이트,
saveilbe.com 에서 운영하고 있는 htmltojavascript.com 과 seobuk.org 의 ip 주소가 같다는 점을 통해
saveilbe.com의 운영자는 seobuk.org의 운영자라는 사실을 알 수 있다.
seobuk.org 는 서북통상으로 알려져있으며 해외로 중고차를 수출하는 업체인 것으로 보인다.

  • 서북통상 전화번호 02-2214-7654
  • 서북통상 팩스 02-2244-0286
  • 업체 주소: South Korea, Seoul City 130-100 Dongdaemun-Gu, Jangan-Dong 407-16
  • 서북통상 유튜브 링크

대표자는 공식 홈페이지에는 임진수로 되어있고 인크루트에는 임종오로 되어있는 것을 보아
임진수는 임종오의 아들인 것 같다

나이가 많은 임종오 보다는 젊은 임진수가 세이브 일베의 운영자일 가능성이 높다.
임진수(Jinsu Lim), 고등학생이라는 것은 결국 허언증이었고 실제로는 고등학생은 아닌 것으로 보인다
여기서 한가지 주목할 점은
링크 서북통상 계정으로 롤 동영상이 업로드 되어있는 것을 보면 서북통상의 유튜브 채널은 젊은 임진수가 운영하고 있을 가능성이 높다.
서북통상 서버또한 임진수가 관리할 가능성이 높다

  • 임진수 추정 전화번호 010-4253-5090
  • 임진수 추정 skype 아이디 ojinso
  • 임진수 추정 이메일 ojinsuo@gmail.com, jinsu@seobuk.org
  • 임진수 추정 카카오톡 아이디 jinsulim
  • 임진수 블로그 http://blog.naver.com/jinsu16



–업데이트–

세이브 일베 운영자가 눈치챘는지 koreanbjwebcam.com/wp-content/plugins/hello.php 에서 더이상 에러메시지가 뜨지 않는다
또한 170.75.163.69 의 메인페이지가 lol로 바뀌고
170.75.163.69/saveilbe 이 접속이 되지 않고
170.75.163.69/backup 또한 접속이 되지 않는다.
예전에 캡쳐 떠둔 것들이 있는데 모두 캡쳐하지는 못했다.
추가로 koreanbjwebcam.com/wp-content/plugins/hello.php에서는 더이상 에러메시지가 뜨지 않지만 다른 곳에서는 여전히 에러메시지가 떠서 리눅스 홈 계정을 알 수 있다:) 그래서 캡쳐해 두었다
170.75.163.69/saveilbe saveilbe.com 메인 화면 캡쳐
saveilbe.com 삭제 요청 화면 캡쳐
(pending은 피해자들의 이메일 주소가 노출되있으므로 캡쳐하지 않았다)
koreanbjwebcam.com 메인 화면 캡쳐
koreanbjwebcam.com 에러메시지 캡쳐1
htmltojavascript.com 캡쳐
Ps: 범인이 서북통상 임진수씨인 것은 더욱 확실해졌네요🙂

 

 

 

https://jsfiddle.net/9kmqvo41/

 

https://webcache.googleusercontent.com/search?q=cache:NCX4P-EjKuQJ:https://v3m3nbhhbqfwl5w3.onion.to/+&cd=1&hl=ko&ct=clnk&gl=uk

 

http://archive.is/58Ivs


One thought on “세이브일베 세이브 일베 saveilbe 운영자

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

%s에 연결하는 중