지난주 금요일부터
개인서버 cpu 점유율이 50% 이상
올라가는 현상이 매일 발생하고 있음
홈디렉토리의 bash 설정파일들도 모두 삭제됨
홈디렉토리에 이상한 이름의 디렉토리가 있음
들어가보니 miner.sh 라는 스크립트가 있음
채굴봇 관련 해킹을 당한 것으로 보임......
관련 블로그 보며
원인 파악 + 보안 조치 하도록 하자...
참고 블로그
https://wooriworld2006.tistory.com/410
find /dev -type f -exec ls -l {} \;
검사 결과 아래경로에 hidden 파일이 존재 하였다.
아래는 /tmp 검사결과
이상한 네이밍의 디렉토리들이 존재함
/var/log/secure 로그 확인
POSSIBLE BREAK-IN ATTEMPT! 키워드가 계속해서 보임
1초마다 끊임없이 SSH 공격이 들어오고 있었음
27일부터 30일까지 1초마다 계속 들어오고 있음
27일 이전의 내용은 지워진듯 (내용이 너무 많아서)
이와 같은 SSH 무작위 대입공격을 brute-force attack 이라고 부른다 함.
SSH 포트를 기본값인 22 에서 다른 포트로 변경 한 후에는
공격이 들어오지 않는 것으로 보임
'OS > 해킹, 보안취약점' 카테고리의 다른 글
| [보안취약점] Content Security Policy (CSP) 보안취약점 (0) | 2024.04.15 |
|---|---|
| [해킹방지] SSH 접속 이력 확인하기 (0) | 2023.01.16 |
| [해킹] pwnrig 해킹 - 가상화폐 채굴 멀웨어 (0) | 2022.10.11 |
