AWS EC2 Linux 서버에 mariadb를 사용하는 포스팅 웹 서비스를 배포했었는데요. 오늘 보니까 작성된 게시물이 싸그리 사라졌습니다. 당황한 심정을 뒤로하고, 서버 인스턴스에 접속해서 DB table을 살펴봤습니다.
이상한 놈들이 보이네요. 내용을 확인해 보겠습니다. (project4_1 table의 README와 README_TO_RECOVER_SZ table의 README 내용은 동일했습니다.)
모든 데이터베이스를 백업했습니다. 데이터베이스를 복구하려면 이 주소로 0.01 BTC(비트코인)를 지불해야 합니다: 1A7afsVJGN3gCnib9bx8rmF5K6rCyivMgY . 백업 목록: project4_1. 결제 후 서버 IP(3.36.128.239)와 거래 ID를 sqlrecover934@onionmail.org 으로 이메일 보내주시면 백업 다운로드 링크를 보내드립니다. 트랜잭션 ID와 서버 IP가 없는 이메일은 무시됩니다. | 1A7afsVJGN3gCnib9bx8rmF5K6rCyivMgY 라고 하네요 ㅋㅋㅋ. 랜섬웨어입니다. 비트코인을 지불하지 않으면 "48시간 내로 돈 안 주면 유출할 거"라는 문구로 변경된다고 하는데, 중요한 데이터가 없기 때문에 방목하겠습니다.
원인은 root 계정의 외부 접근을 허용해 놓았기 때문이라고 추측하고 있습니다.
중요한 데이터가 없어서 다행이지만, 이런 경험을 통해 앞으로 실제로 사용되는 서비스나, 중요한 데이터를 다룬다면 보안에 좀 더 신경 써야겠습니다.
참고
임은상