작년 12월 하순에 처음으로 당한 사실을 알았습니다.

 호스팅 서버를 집에서 굴리고 있는데 작년 10월 중순부터 돌리기 시작했으니 2개월 정도만에 호되게 당했네요.

 제로보드4로 돌아가는 홈피 계정인데 제로보드4는 해외에서는 이미 해커들 사이에서 포럼까지 형성되어 공략법이 나돌기까지 할 정도로 보안에 취약하고 무방비하죠. 아마 첨부파일 업로드 시의 보얀 취약점을 이용한 것 같습니다.

 백도어 심어놓고 인덱스 파일만 살짝 지워놓고 도망을 갑니다. 백도어가 웹에서 실행할 수 있는 스크립트로 이루어진 php 파일들로 이루어져 있더군요. 말로만 듣던 웹해킹의 똥자국들을 실제로 확인하니 신기하기도 하면서 열이 살살 받더군요. ㅎㅎ

 인덱스 파일이 날아가니 홈피에 접속하면 Forbidden 메시지가 덩그러니... 헉, 설마 홈피가 날아갔나? 하고 터미널로 접속해서 확인해보면 이상하리만큼 무사해 보이는 디렉토리 내용들... 홈피 대문을 이루는 index.html 파일만 온데간데 없습니다.

 그리고 제로보드 디렉토리를 훑어보면 곳곳에 뿔뿔이 흩어져 심겨 있는 백도어들... 요걸로 심심할 때마다 웹으로 접속해서 계정을 쪼물딱거립니다. 백도어를 심는 이유가 최종적으로 시스템 전체 권한까지 가로채기 위해 시간을 벌기 위함이죠. 어떤 건 숨김 디렉토리로 만들어 놓기도 하고 아예 config.php 파일 자체를 변조해서 DB가 통째로 날아간 줄 착각하게 만들기까지 합니다. ㅡ,.ㅡ;;

 나중에 알고보니 /tmp 디렉토리까지 휘저어 놨더군요. ㅡ,.ㅜ;; /tmp 디렉토리를 훑어보니 역시나 백도어가 있고 백도어 소스를 자세히 훑어보니 아파치 프로세스를 무한대로 생성하는 것까지 있더군요. 요새 느닷없이 서버의 하드 스왑이 잔뜩 일어나서 접속이 아예 불가능해지는 경우가 불규칙적으로 일어나던데 서버를 퍼지게 만들던 주범이 바로 이놈이었던 거죠. 또다른 방식으로는 네트워크 패킷을 무한정으로 뿌려대는 것까지 있더라는... 공유기에 서버가 물려 있는데 서버쪽 랜포트의 램프가 마구 깜빡깜빡거리면서 서버만 느리게 만드는 게 아니라 공유기에 물린 데스크탑에게까지 영향을 미쳐 인터넷이 불가능하게 만들기도 하더군요. 잠시 서버 랜선을 뽑으면 데탑에선 언제 그랬냐는 듯 인터넷이 잘 되고 랜선 다시 꽂으면 다시 공유기가 헐떡이며 역시나 데탑이랑 서버 모두 인터넷이 불가능한 상태로 만들어 버립니다. 그 때마다 실력이 미천한 저로써는 취할 수 있는 방법이 공유기 리부팅이나 서버 강제 리부팅 밖에 없었습니다. ㅠ,.ㅠ;;

 이런 백도어를 일일이 다 찾아내서 지워도 찝찝하지 않을 수가 없습니다. 그제서야 부랴부랴 트립와이어 예전에 설치하다 말았던 걸 후회하면서 다시 제대로 깔고 씨름을 합니다. 그래봐야 소용 없죠. 웹크래킹을 2번이나 당하고 나서 그제서야 오늘 아예 리눅스를 다 밀고 새로 설치하고 mod_security의 필터링 정책을 나름대로 아주 타이트하게 설정해 두고 나니 이제서야 마음이 좀 놓입니다. mod_security 디버그 로그를 살펴보니 검색로봇들의 접근이 거의 대부분이네요.

 직접 당해보고 나니 보안이 얼마나 중요한지 절감할 수 있네요. 덕분에 공부도 되고요. 집에서 직접 서버를 돌리는 게 여러모로 좋은 경험이 됩니다. 별의별 트러블을 다 겪습니다. 하드웨어 쪽 에러부터 시작해서 동접자 폭주할 때의 증상, 크래킹을 당했을 때의 불규칙적인 괴상한 증상 등등 말이죠. 동접자 폭주한 건 지금 호스팅 입주자 중에 싸이 방문자 추적기를 계정에 설치하고 공개를 해 버리는 바람에 일어난 일이었죠. ^^;; 크래커들의 만행 스타일도 나름대로 파악이 되었고요. 크래커들이 짠 백도어 스크립트의 소스를 완벽하게 분석할 수 있는 능력이 되려면 얼마나 더 공부해야되는지... 휴~

 처음 크래킹 당하고 타 사이트에서 울먹였던 글도 링크합니다.

 http://www.parkoz.com/zboard/view.php?id=express_freeboard&page=1&sn1=&divpage=49&sn=on&ss=off&sc=off&keyword=%B9%AE%B0%E6%C0%B1&select_arrange=headnum&desc=asc&no=268268

 심하게 당한 건 아니고 그냥 서버 부하를 자꾸 상승시켜 다운 상태로 만들거나 네트워크 트래픽을 증가시키는 그런 백도어 파일들이었죠.

 처음 당한 건 작년 연말이었고 그 후로 또 들어오니 안되겠다 싶어서 자료 백업하고 리눅스를 싹 다 밀고 새로 설치하고 기존 자료 복구해서 잘 돌리고 있었습니다. 일이 터진 건 오늘 오후 1시 경입니다.

 제로보드4로 뚫고 들어온 웹크래킹이라 서버 여기저기를 들쑤시고 다닌 건 아니고 뚫은 계정이랑 리눅스에서 가장 퍼미션이 취약하다는 /tmp 디렉토리까지만 들쑤셔 놨더군요. 백도어랑 괴상한 스크립트로 이루어진 실행파일이랑 텍스트파일 등등이 보였습니다. 물론 보이는 대로 다 지웠죠. 리눅스를 새로 설치한 이후 로그 시스템을 나름대로 잘 구축해 놨더니 이번엔 크래커의 정체를 파악할 수 있었습니다. 후이즈에서 IP 조회해 보니 인도네시아로 나오네요. ㅡ,.ㅡ;; 중국, 브라질만 조심할 게 아닙니다. ㅋ

 어쩌면 인도네시아에 위치한 프락시로 경유해서 온 걸 수도 있고.. 암튼 잘 모르겠네요. 아, 맞다. 최초 크래킹 당했을 때 크래커가 웬 wmv 동영상 파일까지 올려놨더군요. 웬 부랑아 같은 10대들이 플래카드를 내 걸고 허름한 장소에서 뭔가 모임을 갖는 듯한 내용이었는데 몰골로 봐선 브라질이나 중동 놈들인 것 싶었습니다. 근데 IP는 인도네시아라... 암튼 중국놈은 아니네요.

 오늘도 아침 일어나고 나서 변함없이 보안 관련 설정에 대해 심취해 있었습니다. 리눅스 관련 사이트를 전전긍긍하며 최대안 보안 관련 팁을 서버에 적용시키고자 노력 중이었습니다. 알면 알수록 여태 모르고 있던 서버에 남은 크래커의 찌끄레기들이 계속 드러나는 겁니다. /tmp 디렉토리에 숨김 디렉토리로 오늘 또 나오더군요. 역시나 백도어... ㅋ 실행파일이 있었습니다. 예전에도 크래커가 심은 실행파일을 실행해도 별 이상 증상이 없었길래 이번에도 호기심에 한 번 실행해 보았습니다. 프로프트엔 아무 반응이 없더라는... ls로 서버 자료들을 열심히 탐색하고 있었습니다.

 그런데 얼마 지나지 않아 cat 명령어를 입력 후 파이프와 grep 명령어로 특정 문자열만 걸러내며 검색하려 하니 갑자기 세그멘테이션 오류라는 메시지가 뜨더군요. 이게 뭐지? 처음 겪어보는 증상이었습니다. 아뿔싸... 혹시 아까 실행한 그 파일이 시스템 관리용 명령어들을 변조하는 것이란 걸 직감했습니다. 그래서 백업본으로 되돌려보기 위해 tar 명령어를 쓰려 하니 이것도 안 먹힙니다... ㅡ,.ㅡ;; 명령어들을 죄다 변조한 건 아니고 중요한 일부 명령어들만 변조한 거죠.

 답답해서 그냥 리부팅을 했습니다. 근데 이젠 아예 부팅도 안 되는 겁니다. 웬 괴상한 에러메시지들만 뿜어대더군요.

 그래서 그냥 새로운 하드에 리눅스를 새로 깔고 맛이 간 하드를 붙여 마운트시켜 깨끗한 백업본으로 복구하기로 했습니다. 다행히 백업용 하드를 따로 두어 마운트시켜 사용하고 있었기 때문에 무사히 복구할 수 있을 거라 생각했습니다.

 새로운 하드만 달고 리눅스를 새로 설치하고 맛 간 하드를 새로 달고 부팅을 시도하는데 이번에도 역시 부팅이 안 됩니다. 아니, 리눅스를 새로운 하드에 새로 설치하고 맛이 간 하드는 그냥 데이터 저장 영역으로만 마운트하려는 건데 부팅이 안 되는 이유를 모르겠더군요.

 그래서 어쩔 수 없이 그냥 새 하드로 갈 수 밖에 없었습니다. 이런 날이 언젠가 올 걸 알고 비상용 하드를 마련해 두고 있었죠.

 백업본으로 개끗이 복구는 성공했습니다. 근데 백업본이 매일 새벽 4시경에 이루어진 것이라 결국 새벽 4시에서 오후 1시 사이에 저장된 데이터는 포기할 수 밖에 없었습니다.

 혼자 쓰는 서버도 아니고 무료 호스팅 서버라 입주자가 50명 정도 되는데 남의 자료를 내 실수로 날린 게 엄청 미안해지네요. ㅜ,.ㅜ;; 그나마 접속자가 드문 시간대라서 피해는 그리 크지 않았습니다.

 그 맛이 간 하드를 윈도 시스템에 붙였습니다. 윈도에서 리눅스용 파티션을 마운트할 수 있는 프로그램이 있기에 루트파티션의 내용을 살펴보니....

 디렉토리가 몽땅 다 날아갔고 .bash_history, .autofsck, halt 요 3개의 파일만 남아 있는 겁니다. ㅡ,.ㅡ;;

실행하면 몇몇 중요 시스템 명령어를 날려먹고 재부팅을 하면 파티션을 몽땅 다 날리는 파일이었던 것입니다. ㅜ,.ㅜ;;

완전 제대로 당한 거죠. 이게 최초로 심어진 게 1월 28일이었으니 그저께로군요. 이걸 지가 직접 실행을 시키진 않고 저처럼 또라이같은 놈이 호기심에 한 번 실행해 보도록 가만 놔둔 것이 분명합니다.

 말로만 듣던 크래킹의 피해를 이리 제대로 당하긴 첨이네요. 루트 디렉토리를 단일 파티션으로 두고 사용해서리 /home, /var 등등의 디렉토리까지 몽땅 다 날렸습니다. 입주자들 자료도 다 날아간 거죠. /boot 디렉토리는 별도의 파티션으로 두고 써서 피해가 없네요. 그 외엔 여태 모아놓은 리눅스 iso 파일 모음이랑 B급 영화들 다운받아 놓은 것 정도만 날렸네요. 정작 중요한 개인 자료들은 별도의 하드를 마운트시켜 저장해 놓았기에 망정이지 안 그랬으면 큰일날 뻔 했습니다. ㅎㅎ

 정말 백업이 얼마나 중요한 건지 이번 경험을 통해 절실히 깨닫게 되네요. 뚫리는 건 언제든 당할 수 있는 것이기에 복구 대책이라도 철저하게 세워두는 게 정말 중요한 것 같습니다.

 p.s) 놈이 숨겨논 그 백도어 실행파일의 이름이 httpd 였습니다. 이걸 일단 심어는 놓고 어떻게든 관리자 권한으로 실행되게끔 뭔가 술수를 부려보고자 방법을 모색하고 있던 것 같습니다. 그리고 만약 그게 성공한다면.... 아파치 웹서버만 가동하면 그걸로 게임 끝나는 것이죠. ㅋ

 근데 친절하게도 제가 그걸 먼저 찾아주고 스스로 실행까지 해 주는 서비스를... ㅜ,.ㅡ;;




























 암튼 크래커의 침입으로 08년 1월 20일 새벽 4시 - 13시 사이에 올라온 게시물들은 모두 누락되었습니다.

 지켜 드리지 못한 점 죄송합니다. 앞으로 보안 공부 더 많이 해서 튼튼한 서버로 가꾸도록 노력하겠습니다.

 크래커는 인도네시아 놈일 수도 있고 다른 나라 놈이 인도네시아 소재 프락시서버를 경유해서 들어온 걸 수도 있습니다.

 밝혀지면 호스팅 사이트의 체면과 입지가 뒤흔들릴 지도 모르는 중대 기밀사항이 되겠으나 입주자 여러분들과의 신뢰가 가장 우선시되어야 한다는 신념에는 변함이 없는 관계로 이렇게 상세하게 보고드리게 되었습니다.

 다행히도 백업본을 물리적으로 다른 하드디스크에 주기적으로 꾸준히 백업을 해왔기에 그나마 피해를 이 정도로 최소화할 수 있지 않았나 생각합니다.

 해커의 침임 흔적을 그냥 지우기만 했으면 되었을 걸 괜한 호기심에 만져보다가 호되게 당했네요. 저의 불찰을 용서치 말아 주세요. 허구헌날 리부팅에 점검에 이번에 크래킹까지... 이런 허접 서버에 입주하고 계신 입주자 여러분들은 얼마나 노심초사하시겠습니까... 

 암튼 크래킹은 당해도 자료 보존만큼은 나름대로 만전을 기하고 있으니 이번 일 때문에 너무 심려치는 마시길 바랍니다. 제 개인적으로는 이번에 보안 수업을 제대로 한 셈입니다. ^^;;

 암튼 최선을 다하는 디지문 호스팅이 되도록 노력하겠습니다. 긴 글 읽어 주셔서 감사합니다.