몇일 전 부터 갑자기 서버의 cpu 사용량이 항상 50 이상넘어가 있는 증상이 있었다
해당 점유 프로세스는 kswapd0 라는 프로세스가 cpu 점유율을 계속 해서 유지 하는 중이었다.
해당 프로세스의 계정은 서버에 예전에 설치된 DB2 계정이었다 DB2 의 경우 다른 DB 와는 좀 다르게 OS에 계정을 사용
한다. 해당 DB는 사용하지도 않지만 처음엔 해당 프로세스만 Kill 하고 DB2 서비스 문제인가 해서 DB2를 삭제 했다
다음날도 같은 문제가 발생했고 서버에 ssh 접속시 접속 페일이 1000번을 넘었다고 나온걸 보고 놀랬다 외부접속을 ssh
포트의 웰노운 포트인 22 으로 안하고 4자리수의 다른걸로 포워딩을 해서 외부에서도 작업 할려고 했는데 그 경로를
찾아서 들어왔고 해당 해킹이 당한뒤 몇일이 지나니까 본격적으로 여러군데서 우리서버의 ssh 로 접속을 시도한 흔적을
확인 했다
기본적으로 서버에서 접속 기록 체크는
last -n 1000 명령어로 접속이력을 확인가능 하고 숫자 조절이 된다
그리고 현재 살아 있는 접속 여부인 w 명령어로 먼저 확인 하는게 좋다
/var/log/messages
/var/log/secure
해당 로그도 확인 하면 좋지만 나의 경우는 되지 않았다.
결국 결정적으로 확인은 아래 명령어인데
find /dev -type f
검색했을때 오라클 하고 나머지 파일들을 확인 하니
dota3.tar.gz 이런 이름의 파일과 숨김으로 rsync 프로세스를 cron 스케줄에 걸어서
- debian-package.center (which resolves to 45.9.148.117, 45.9.148.125, 45.9.148.129)
- 45.9.148.125
45.9.148.129저위에 ip 대역으로 443 ssh 연결을 맺고 있는 중이었다 ....
해당 멜웨어의 정확한 정보는
www.oguzhantopgul.com/2020/06/outlaw-botnet-xmrig-miner-and-shellbot.html
Outlaw Botnet XMRIG Miner and Shellbot Campaign Technical Analysis
I saw a sample in the wild and decided to take a deep dive into it. It didn't take took long to realize that this is just a piece of a bigge...
www.oguzhantopgul.com
여기서 확인이 가능했고 해당 프로그램의 전체 아키를 보면 꾀 정밀한 느낌이었다
총 3가지 모듈인데
Crypto miner
IRC Bot
SSH Bruteforce
채굴하고 봇으로 조정 그리고 주변 로컬에서 또 다른 희생양 탐색
이렇게 되는거 같았다.
저기에 설명에 따르면 up.txt 파일 안에 내부 네트워크 대역을 뒤지는게 있는데 나 같은 경우는 없었다.
192와 172 대역만 뒤지고 10 번대는 없는걸로 보아 안심은 했지만 서버라른게 결국 계속 관심을 안가지면
저런 경우도 발생 가능 하고 수시로 모니터링을 해야 겟다.
tmp 디렉토리와 dev/shm 디렉토리 밑에 .rsync .out data3.tar.gz 으로 숨김으로 되어 있고 해당 계정을 삭제하면 자동으로 삭제 된다
'리눅스' 카테고리의 다른 글
| nexus 3 기준 일괄 업로드 sh 스크립트 (1) | 2021.05.04 |
|---|---|
| CentOS 7 Selinux 설정 오류시 부팅 안됨 (0) | 2020.12.01 |
| vm 에 우분투 18 서버 live 버전 설치시 기본 세팅 (0) | 2020.09.16 |
| CentOS 7 NFS 세팅시 주의 사항 (0) | 2020.08.12 |
| centos ntp 로 시간 동기화 (0) | 2020.03.10 |