이미지

지긋지긋한 해킹 대응 후기!…

일단 이 녀석이 범인이죠!
일단 이 녀석이 범인이죠!

 

뭐 카이져닷넷 해킹시도야.. 카이져닷컴부터 닷넷까지.. 어제 오늘일이 아닌 관계로..  솔직히 뭐 지금쯤이면 슬슬 해커녀석들이 노릴만도 한데~ 라는 생각을 가지고 있었던게 사실입니다. 매버릭스로 서버를 업그레이드 한 뒤에… 요세미티를 건너뛰면서 한동안 신경을 끊고 살았거든여. 워드프레스로 이전하고나서, 기존에 해킹 대응에 취약한 XE를 뽑아냈기 때문에 무척이나 안심하고 있었던 것도 있었죠.

그러다가 그만!…

서버가 좀 상태가 메롱인 거 같아서, 지난 주 금요일이었죠! (목요일인가?..) 점검중에 놀라운 사실을 발견하게 됩니다.

 

스크린샷 2015-10-08 오전 12.16.39

카닷컴 메일 서버가, 카닷컴과 카닷넷 도메인으로 스팸을 대량 발송중인게 아니겠어요!? ㅠㅠ OS X server는 postfix 를 사용하는데, 이야아!..  이 녀석 오픈릴레이중이었네!.. ㅠㅠ 라며.. 흑.. 사태 파악에 나섰는데요.

 

카닷컴에 둥지를 틀고있던 친구 회사의 홈페이지에 문제가… 물론 그 문제의 시작엔 친구의 이메일 계정이 털린 것이.. ㅠㅠ 가장 주요한 원인이었죠. 이 친구는 각종 사이트와 메일.. 웹서버… ftp.. 등등 모든 아이디와 암호를 동일하게!…. ㅠㅠ 엉엉.. 덕분에 신나게 털리고.. 홍콩의 해커녀석은 카닷컴 서버의 ssh도 뚫겠다고 덤비고 있더라고요. 중국에서 홍콩을 거쳐올 것이라고 생각되지만 말이어영. ssh를 뚫진 못했지만 무척이나 원시적인 방법으로 아이디 암호를 무한 대입중이었습니다. 초당 1-20번 정도 꼴로요.

 

바로 포트를 막아버리고, 메일서버를 옮겨버리고… 혹시 몰라 털렸을 듯한 카닷컴 내 계정들을 모두 정지!…

 

그리고 미루어왔던 카닷컴 서버의 업데이트를 개시!…(보안업데이트야.. 꾸준히 했습니다만… 계정 털린 건 어쩔 수가!.. ㅠㅠ) 예전에 매버릭스 올라갈 때처럼 전진기지에서 데이터센터에 연결해서 업데이트를 진행했는데.. 아뿔싸.. 뭔가 매끄럽게 되지 않았더라고요. ㅠㅠ

 

IMG_3619

결국 남들 퇴근할 시간에 전 데이터센터로 출동.. ㅠㅠ 작업을 마무리하고… 카닷컴, 카닷넷은 루트없는 엘캐피탄 서버로 깔끔하게 이주하였습니다. 하지만 뿌드으읏~함도 잠시… ㅠㅠ 바로 이어진 주말에.. 카닷넷 워드프레스 테마질이나 하고 있었는데요. 계정털린 친구에게 문자가 날아왔죠.

 

 

sms

 

마카롱 이벤트라고.. 뭐 먹는 걸 준다는 이벤트 스팸이 친구 본인의 전화번호로 본인에게 날아온 것이었습니다. 저 링크는 뭐냐… 싶어, 맥의 사파리에서 하나하나 쳐서 연결해본 결과는 충격적이었죠!…

 

방금 날아온 스팸의 링크가 404!!!!
방금 날아온 스팸의 링크가 404!!!!

 

이야아.. 날아오자마자 눌러본 링크가 존재하지 않는다니!…… 바로 녀석에게 전화를 걸었습니다.

 

카이져: 야!.. 방금 너 번호로 날아왔다는 스팸, 링크 눌러봤어?

친구: 아니, 안눌렀어!

카이져: 누르지마라. 그거 누르면 뭐 이상한 거 깔리고 탈탈 털릴 거 같애!

 

라고 얘기해주었죠. 우웅… 겉보기엔 멀쩡한 링크인 척하지만 실상은.. 누르면 본인도 모르는새에 뭐가 깔려서 홀라당 계좌 비밀번호까지 다 털어가거나 할 수도 있는 무서운 스팸인게죠!

 

자 여기에서 이제 다시 한 번 상황 유추를 해보니….

친구가 아이폰에서 갤럭시로 바꾼 시기와 털린 시기가 거의 맞아떨어져서요. ㅠㅠ 엉엉.. 그리고 돌잔치 스팸을 눌렀던 시기와 거의 일치!.. ㅠㅠ

 

  1. 아이폰에서 갤럭시로 이주
  2. 돌잔치 스팸받고, 뭣도모르고 열어봄. 암것두 안나오길래 넘어감
  3. 메일계정털림
  4. 공교롭게도 메일은 구글 앱스에 도메인걸려있음
  5. 해당 도메인 계정(카닷컴에 있는) 다 털림
  6. 카닷컴의 친구 홈피는 스팸 서버로 변신
  7. 카닷컴 도메인으로 스팸메일 발송 시작
  8. 카닷컴 메일서버 스팸 서버로 등록
  9. 서버 겁나게 느려짐
  10. 홍콩에서 ssh 뚫겠다고 난리치는 것 발견
  11. 하지만 CEO의 암호는 치는데 초고속 타자로 5초가까이 소요되는 장문
  12. 전직원 계정 갈아엎고, 친구 홈페이지 엎음. 카닷컴 메일 서버 이전
  13. 친구 전화번호로 돌잔치스팸과 비슷한 스팸 발송중임을 확인

 

뭐 이런 상황인게죠.

 

일단은 카닷컴, 카닷넷 내에서는 상황이 종료되었습니다. 남은 건 지인들에게 그 스팸은 내가 보낸게 아니라며 연락을 취하는 중인 친구 뿐이죠. ㅠㅠ

이번주중에 친구 홈페이지도 워드프레스 기반으로 옮겨타는 작업을 하려고 합니다. 흑흑..

 

 

 

 

플레스테이션> 그나저나 무슨 바람이 불어서인지… 환절기라 그런가?.. 하루에도 테마를 몇 번씩.. ㅠㅠ 으으으.. 아주 그냥 쏙~ 맘에 드는 게 없네용.

Advertisements

지긋지긋한 해킹 대응 후기!…”의 8개의 생각

  1. 크.. 제 요세미티 서버는 다행히 아직 저런일은 없는 모양입니다…만 웬지 남일같지가 않습니다.
    물론 들어있는 내용물이 개미 콧구멍만큼도 없기도 하지만여…
    오랜만에 퇴근후에 서버 어드민 비번이나 좀 바꿔줘야겠습니다.

    좋아하기

  2. 저는 집에서 NAS로 워드프레스 돌리고 있는데 하루에도 수십번씩 ***.***.***.*** IP가 FTP로(또는 메일서버로) 5분안에 10번 로그인실패로 차단되었다는 NAS에서 보내는 보고메일이 날아오고 있네요… 무섭습니다…

    좋아하기

  3. 저도 데비안 두대 우분투서버 한대 엘캐피탄 서버 한대 이렇게 돌리는데… 데비안이랑 우분투는 서버 로그 볼라치면 터미널 열고 명령어로 봐야하고 귀찮고 해서 신경 끄는데… ㅠㅠ
    오에스텐 서버는 아무데서나 앱 하나 열면 웹이나 ssh, vnc등등 로그가 실시간으로!! ㅠㅠb
    저도 가끔 로그 보고있으면 ssh랑 vnc에 무차별대입으로 막 입력해보더라구요…
    근데 뭐 ssh엔 root계정 로긴도 막혀있고, 화면공유는 계정 없이 패스워드만으론 로긴 안되니까 영원히 지는 게임을 하는거죠 :3
    가끔 보면 http 패킷에 오버플로우로 특정 명령어 실핼하려 하거나 아파치 헤더 파싱 취약점으로 특정 백도어 다운로드 받게끔 하려는 시도도 보이는데 역시나 계속 실패… ㅇㅅㅇb

    좋아하기

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

%s에 연결하는 중