[트러블슈팅] WAS 해킹을 당했어요!

📍문제 상황

때는 바야흐로 데모데이 발표 D-1.. 한마디로 한참 바쁜 때였다. 그런데 한 팀원이 갑자기 "어?"를 외치더니 "혹시 서버 잘 되나요 지금?" 이렇게 여쭤보셨다.

서버에 들어가서 pm2 log를 치니 아무것도 나오지 않았다.

그래서 프로젝트 폴더에 들어가서 확인해보니 배포해 놓은 dist 폴더 자체가 없어진 것을 발견하였다.

있었는데 없었습니다

Ncloud에 접속해보니 was server의 cpu가 100%인 걸 발견했다.

그리고 OS가 모든 프로세스들을 kill 하고 있었다…

💥 원인 분석

추정 원인

1. NCP에서 서버를 만든 후 ubuntu로 계정을 만들었다.
2. 비밀번호를 123456으로 설정했다.
3. 봇의 Network Scan에 걸려서 코인 채굴기로 활용된 것으로 추정했다.
4. 완전히 문 열어두고 제발 우리 서버 좀 털어가세요 하는 꼴…

🚀 해결 과정

1. 서버 인스턴스 삭제 후 재생성
2. NCP에서 주는 root 비밀번호로 로그인

3. 사용자 계정 생성, sudo 권한 부여
4. ssh key-gen 생성
5. root 계정 lock 걸기
6. 다시 서버가 해킹 당했을 경우에 대비하여, 빠른 복구를 위한 서버 이미지 생성

⭐️ 결과

1. 서버는 절대 비밀번호 로그인 금지
2. root 계정도 로그인을 막자
3. ubuntu 계정은 PEM키를 통한 접근만 허용
4. 직접 당해봐야 보안 중요한 줄 안다!
5. 팀원의 메일로 이벤트 메일이 도착

📂 레퍼런스

네이버 클라우드에서 SSH Key 파일로 로그인