스마일 서브자신의 서버가 해킹 당했을때 해커들이 조용히 정보만 빼나가는 경우가 많지만
아래와 같이 서버를 오픈 VPN 서버로 만들어 버리는 경우가 많다
인터넷 검열이 있는 중국의 경우가 한국쪽 VPN에 수요가 있으며 아이피 세탁(?) 용도로 스여지게 되면 경찰서에서 공문을 받을지도 모른다.
구체적인 증상의 경우는 아래와 같았다.
|
뭔가 패킷이 1723으로 들어와서 1723을 소스아이피로 하여 다시 나간다. 증상은 웹사이트의 부하 혹은 느려지는 현상 발생 처음에는 공격인줄 알았는데1732는 PPTP (VPN)에서 쓰는 프로토콜이다. 뭔가 경유지 일수도 있으며 해외쪽을 다 차단했을시 웹페이지는 정상적으로 빨리 열리며 트래픽이 팍 줄어든다. 자칫 보면 DDOS 공격일수도 있으며 외부트래픽을 차단하면 효과가 있으나 서버내에 돌아가는 PPTP 프로그램 중지시키고 근본적으로는 서버에 심어진 악성코드를 제거해야 하며 점검을 해야 함… |
tcpdump -nni eth1 -A -s 1500 dst host [해킹당한 아이피]
: 외부에서 해킹당한 서버로 1723번 포트로 다양한 아이피에서 접근되는것이 확인된다.
| 23:12:18.724248 IP xxx.106.xx.70.15630 > xxx.110.xx.xxx.1723: R 1328126017:1328126017(0) win 0 E..(..@.6..=WjuF.n.t=…O).A….P…………. 23:12:18.724262 IP xxx.28.xx.100.53800 > xxx.110.xx.xxx.1723: S 2807332693:2807332693(0) win 63955 <mss 1460,nop,nop,sackOK> E..0=u@.r……d.n.t.(…T.U….p…fZ………. 23:12:18.724391 IP xxx.93.xx.57.14106 > xxx.110.xx.xxx.1723: S 2299861005:2299861005(0) win 65321 <mss 1460,nop,nop,sackOK> ….p..)…………7…… 23:12:18.724404 IP xxx.107.xx.33.28783 > xxx.110.xx.xxx.1723: S 3876480333:3876480333(0) win 62895 <mss 1460,nop,nop,sackOK> E..0. @.r..N.k.!.n.tpo….eM….p…Uy………. |
tcpdump -nni eth1 -A -s 1500 src host [해킹당한 아이피]
: 해킹당한 서버는 1723번 포트에서 응답이 나가는것을 확인할수 있다
| 23:12:54.549496 IP xxx.110.xx.xxx.1723 > 139.xxx.239.xx.32078: S 2553846093:2553846093(0) ack 559418199 win 16384 <mss 1460,nop,nop,sackOK> E..0Y……n.n.t.v.\..}N.8.M!X.Wp.@…………. 23:12:54.549505 IP xxx.110.xx.xxx.1723 > 85.xx.63.xx.37429: S 3390360:3390360(0) ack 4027354925 win 16384 <mss 1460,nop,nop,sackOK> E..0Y…..g..n.tU.?=…5.3…..-p.@…………. 23:12:54.549515 IP xxx.110.xx.xxx.1723 > 188.xxx.195.xx.54588: S 497767880:497767880(0) ack 790916426 win 16384 <mss 1460,nop,nop,sackOK> E..0Y…..|{.n.t.}.F…<..U./$mJp.@…………. 23:12:54.549523 IP xxx.110.xx.xxx.1723 > xx.120.97.xx.52754: S 994769807:994769807(0) ack 3523992596 win 16384 <mss 1460,nop,nop,sackOK> E..0Y…..t}.n.t&xaI….;J……p.@…………. 23:12:54.549533 IP xxx.110.xx.xxx.1723 > 23.98.141.2.55328: S 66584355:66584355(0) ack 2234147938 win 16384 <mss 1460,nop,nop,sackOK> E..0Y…..W..n.t.b….. …#.*dbp.@..D………. |
아래는 해킹 당하여 오픈 VPN으로 이용된 서버의 MRTG 그래프 정보이다
비록 하루가 지나기 전에 찾아서 피해를 최소화 할수 있었다.
최소한의 서버관리자라고 한다면 하루에 출근하고 퇴근할때 한번씩만 MRTG 그래프만 확인해본다면 피해를 줄일수 있다고 생각된다.
해킹당한 서버의 MRTG 그래프
: 오전 7시에 갑자기 트래픽이 늘어난것을 확인가능하며 경유지로 악용당할 경우 송신 및 수신이 고루 상승하게 된다.
END
[polldaddy rating=”7739789″]