godmode 스킬 악용으로 VPS에 채굴기와 SSH 뒷문이 설치됨

를 돌리던 VPS가 스킬을 통해 침해됐다. 공격자는 매분 실행되는 악성 cron 작업을 넣고, 스킬을 불러온 뒤 에서 셸 스크립트를 받아 실행하게 했다. 그 결과 사용자 계정과 root 계정의 authorized_keys에 허가되지 않은 2개가 추가됐다.

방화벽에는 22번 포트 SSH 접속을 허용하는 iptables 규칙이 들어갔다. xmrig 채굴기도 설치되어 192.3.188.151:8443으로 연결됐고, CPU를 많이 써서 제공업체의 경고가 02:30과 07:30쯤 발생했다. 정리 작업으로 악성 cron 작업과 스크립트가 삭제됐고, xmrig 실행 파일과 악성 도 제거됐다.

root의 authorized_keys는 chattr +i로 바뀌어 이후 수정이 막혔고, 스킬도 삭제됐다.

핵심 포인트

  • 스킬이 악용되어 VPS에 악성 cron 작업이 심어졌다.
  • 공격자는 를 추가해 사용자 계정과 root 계정에 다시 들어올 길을 만들었다.
  • xmrig 채굴기가 설치되어 CPU를 많이 사용했고, 이 때문에 경고가 발생했다.
  • 확인할 곳은 cron 작업, authorized_keys, iptables 규칙, /tmp 안의 의심 스크립트, xmrig 실행 여부다.
  • 같은 고위험 스킬은 삭제하거나 꼭 필요한 때에만 제한적으로 써야 한다.
원문 보기