무중단 배포중이던 나의 작은 프로젝트

---

• 자신의 Cell을 구매해 자신의 인스타를 홍보하는 작은 웹페이지 입니다.
• 누적 가입자 15명!
• 지금당장 구매하세요!
• 간단한 프로젝트를 직접 만든 클라우드 서버에 올려보면서 분산시스템 실습용으로 제작하였습니다.
• 런칭부터 무중단 2개월 였었던것.

---

직접 구축한 작은 클라우드 센터

---

• 연구실에서 저는 클라우드 시스템을 구축하고, 다이나믹하게 스스로를 점검하는 클라우드를 개발연구하고 있습니다.
• 현재는 연구진들을 위해, 클라우드 플랫폼을 제작하고 있습니다.
• 무튼, 연구 및 실습을 하면서 직접 구축한 클라우드 서버! (심지어 GPU랑 공인아이피도 할당해줌 ㄷㄷ)

  Core : 50개
  RAM: 120GB
  GPU : 8대
  Openstack Yoga 이용중

---

갑작스런 연락

---

네 제겁니다. 교수님.

• 보자마자 심장이 멎었고 맨날 동네북마냥 해외아이피에서 phpmyadmin 두들겨 맞는 백엔드서버 당장 확인해 보았는데... 멀쩡...
• 안전할줄 알았던 프론트 서버가 접속이 불가,,,,!

---

부검.

---

• 일단 먼저 차단된 VM이 인터넷에 연결되면 또 트래픽을 발생시킬지도 모르니 Openstack에서 해당 NIC 제거를 먼저했습니다.

• 해킹당한 VM을 스냅샷을 생성 후, 클론해주었습니다.

• 인터넷이 안되는 LAN을 따로 만들어주고, 공인아이피가 달려있는 VM이랑, 클론한 VM에다가 물려줍니다.
  

• 좀 이상한데, 그냥 인터넷 안되는 Clone 서버에 접속하려고 노력했다고 봐주시면 됩니다.

• 접속이 잘되네요.

  근데 뭘 봐야하지?

• 일단 nginx 접속 로그부터 봤습니다.

• 왜냐하면 보안 설정으로 제가 443이랑 80 포트로만 외부로 들어올수 있게 하였기 때문에 입구는 단 하나....!
  

• 대량 트래픽 발생시키던 시간대에 아무도 제 사이트에 들어오지 않는데,, 국내 아이피가 하나 갑자기 찍혀있네요,,

• 

• 붓싼!!!! 이쉐키가!!! 좌표도 한번 봅시다.
  

• 저기에 뭐가 있을까요?
  

• 약간 공사하고 있는 빈 상가 건물인데 확실히 저곳에 해커가 있을법 하게 생기긴 했습니다.

• 근데 같은 좌표로 웹서버가 하나있길래 해당 아이피로 접속해보니
  

• 누가 봐도 수상한 건물입니다.

• 근데 이건 중요하지가 않아요, 제 꺼에 어떻게 들어왔는지 궁금하고 무슨 방법을 썻는지..

• 한국 시간 13:04 경 제 쉘에 접근하였습니다.
  
  
• 그러고 제 VM Reboot 시킵니당.
  
• 습격 시작 로그...
  
• freedesktop 저건또 뭐야... 위키 https://ko.wikipedia.org/wiki/Freedesktop.org
• 
• syslog
  
• 여기서 갑자기 못보던 디렉토리 ( /home/user/~~~)
• 설마하고 사용자 목록 들어가보니 2개 정도 있었습니다.
  

unhell 뭐했을까?

user

• masscan 폴더에 들어가보니
• readme.md 파일이 있길래 해커가 나에게 남기는 메세지 인가? 하고 열어봤더니
• 그냥 내부 포트랑 로컬내에 호스트들 포트 다 훑는 녀석인거 같더라고요.
  https://github.com/robertdavidgraham/masscan
  참고!
  history
• exir 오타보고 인간이구나 느꼈습니다.
• vncjew는 그 원격 접속으로 할때, UI 클라이언트 설치해주는 녀석입니다. 제가 우분투 서버라..

느낀점 및 고칠점

---

• 보안에 좀 더 신경을 쓰자.
• 외국 아이피는 다 차단을하자.
• Ingress 차단 뿐만아니라 Outgress도 차단하자...
• 실시간으로 클라우드 트래픽 모니터링하는 시스템도 만들자..
• nginx 버전도 숨기자.
• ubuntu 20.04 쓰지말자..