본문 바로가기

OS/해킹, 보안취약점

가상화폐 채굴 해킹 조치 - SSH 무작위 대입 공격

지난주 금요일부터 
개인서버 cpu 점유율이 50% 이상 
올라가는 현상이 매일 발생하고 있음

홈디렉토리의 bash 설정파일들도 모두 삭제됨

홈디렉토리에 이상한 이름의 디렉토리가 있음
들어가보니 miner.sh 라는 스크립트가 있음

채굴봇 관련 해킹을 당한 것으로 보임......

관련 블로그 보며 
원인 파악 + 보안 조치 하도록 하자...

 


 

참고 블로그

https://wooriworld2006.tistory.com/410

 


 

 

find /dev -type f -exec ls -l {} \;

검사 결과 아래경로에 hidden 파일이 존재 하였다.

 

아래는 /tmp 검사결과

이상한 네이밍의 디렉토리들이 존재함

 


 

/var/log/secure 로그 확인

POSSIBLE BREAK-IN ATTEMPT! 키워드가 계속해서 보임

 

1초마다 끊임없이 SSH 공격이 들어오고 있었음

27일부터 30일까지 1초마다 계속 들어오고 있음

27일 이전의 내용은 지워진듯 (내용이 너무 많아서)

 

이와 같은 SSH 무작위 대입공격을 brute-force attack 이라고 부른다 함.

 


 

SSH 포트를 기본값인 22 에서 다른 포트로 변경 한 후에는

공격이 들어오지 않는 것으로 보임