최근 비트코인 채굴을 위한 소프트웨어들이 취약한 서버들을 해킹하여 설치 되고 있는것 같다.
아래는 얼마전 발생한 피해서버 조사 후 나온 인터넷 기사이다.
http://m.dailysecu.com/?mod=news&act=articleView&idxno=23980
얼마전 피해서버의 cpu 점유율이 95% 이상을 치고 있어서 살펴 보았다.
root 계정이 아닌 일반 계정(관리자가 테스트 용도로 추가한 계정임) 으로 bash 라는 프로세스가 cpu 점유율을 95% 이상 차지하고 있었다.
해당 프로세스를 kill -9 로 죽인 후 2시간 가량 모니터링 해본 결과 아무런 문제가 발생 하지 않았다.
아무런 의심 없이 그날은 넘어갔다.
며칠 후 또 다시 cpu 가 95% 이상 점유하고 있어서 다시 조사해보니 bash 라는 프로세스가 점유율을 차지하고 있었다.
해킹의 의심을 하고 악성코드 검사를 시작하였다.
#find /dev -type f -exec ls -l {} \;
검사 결과 아래경로에 hidden 파일이 존재 하였다.
아래는 /tmp을 검사한 결과이다.
위와 같이 숨김파일로 스크립트 파일들이 존재 하였다.
먼저 autorun 파일 스크립트 를 보자
아래에서 계속 보겠지만 crontab 검사후 cron 스크립트의 내용을 cron으로 등록 후 upd 스크립트를 자동으로 실행 시킨다.
upd 스크립트는 스크립트 실행후 프로세스 아이디를 체크 하고, 존재하면 kill 을 수행하는것으로 보인다.
다음으로 비트코인 채굴 프로그램을 각 운영체제에 맞게 실행 해주는 스크립트인 run 을 보자.
32 혹은 64 운영체제를 체크 한 후 해당 비트코인 채굴 프로그램을 실행 시키는 스크립트이다.
한가지 의문점은 왜 /tmp 경로에 있는 run 파일의 이메일 주소와 , dev 경로에 있는 이메일 주소가 다른지 의문 점이든다.
한명 이상의 해커에 의해 서버가 점령 당한건가?
그렇다면 비트코인 채굴을 위해 서버 침투후 사용되는 악성 스크립트들은 동일한건가?
이건 좀 더 피해서버를 조사해봐야 정확히 알거 같다.
다음으로 h32,h64 는 비트코인 채굴용 소프트웨어 인듯 하다.
그리고 bash.pid, dir 은 프로세스 실행을 위한 경로 및 프로세스 실행 아이디 인것 같다.
여기까지가 비트코인 채굴용 소프트웨어 및 악성스크립트 파일 들이 었다.
지금 부터 침투 경로에 대해 알아보도록 한다.
redhat 계열 리눅스 이므로 접속 기록부터 살펴보기 위해 /var/log/secure 로그 파일부터 조사하도록 하자.
악성스크립트 파일 생성일자를 기준으로 살펴보는것이 빠를것 같다.
secure 로그 파일은 file size 로 rotation 되고 있으므로 /dev/shm/'/.a 생성 일자를 기준으로 secure-20170928 에 해당 하는 파일부터 조사하도록 하자.
mysql 계정으로 두개의다른 아이피로 접속 하였다.
어떻게 접속 했는지 알아봐도록 하자.
아마도 포트 스캔 후 ssh에 대해 무차별 대입 공격 툴로 공격 해온것 같다. 그 와중에 user minecraft :(
사전에 minecraft 도 있나보다.
불과 몇번의 시도 끝에 일반 계정이 뚫린것 같다.
결론:
방화벽 정책으로는 불필요한 포트 막기, ssh 접속에 대한 보안정책 세우기, 불필요한 계정 생성하지 않기, 사전파일에 존재 하지 않는 계정이름 혹은 유추 가능한 일반적인 유저명으로 계정 생성하지 않기, 패스워드복잡도 높이도록 하는것을 철저히 지키도록 하자.
지금도 비트코인 채굴 서버 침투를 위해 해커들이 활동 하고 있는것으로 보인다. 보안대책을 위해 지속적으로 서버 점검이 필요한것 같다.
마지막으로 피해서버 조사에 도움을 주신 모의침투 연구회 공재웅님에게 감사드립니다.