여행중인 나를 당황하게 한 멀웨어 공격
뜬금없지만 이번 7월 16일 부터 7월 19일까지 일본 여행을 가게 되었습니다. 물론 이미 잘 다녀온 여행이고 즐거웠습니다. 그런데 여행 도중 갑자기 이용중인 서버 호스팅 사이트로부터 문자를 받게 되었습니다.
초과금 과금예정
이란 단어에 스트레스가 쫘아악 올라가더군요;;;
여행 도중이었기 때문에 바로 서버를 꺼주고 여행이 끝난 뒤 어떤 공격을 받은건지 확인을 했습니다.
먼저 서버 호스팅의 트래픽 사용량과 로그를 확인해보았습니다.
... 눈물이 앞을 가립니다...
...서버를 켜주고 (트래픽 차단을 해제하지 않아도 서버만 켜주면 사이트가 들어가지더군요...) coda 프로그램을 이용해 access.log 파일과 error.log 파일을 받았습니다.
"x00_-gawa.sa.pilipinas.2015"
"http://google.com/search?q=2+guys+1+horse"
"/Ringing.at.your.dorbell!"
위 사진에서 뿐만 아니라 많은 로그들이 있었으나, 3개의 문장들이 많은 반복이 있었으므로 3개의 문장들을 기준으로 구글링을 해봤습니다.
shellshock attack 라는 malware였습니다. (해결 방법까지 제공!)
ps. 현재 사이트를 운영중인게 아니라 큰 조치를 취할 필요는 없었습니다. phpschool 호스팅을 쓰면서 무료로 제공하는 Dnszi에서, 유료면서 동일 IP에 대한 반복적인 리퀘스트를 제한해준다고 추천받은 Dnsever로 (유료지만..ㅠㅠ) DNS를 옮기는게 제가 취한 조치였습니다.
여행 도중이란 상황에 많이 당황하고, 아무것도 없는 빈 사이트, 서버에 이런 공격이 오리라곤 생각도 못하고 있었기에 두번 세번 당황했습니다.
일이 터지기 전에 미리 조심해야 함을 다시 깨닫게 되는 여행이었고, 빈 사이트가 오히려 더 위험하다는걸 깨닫게 되었습니다.