학교에서 담당하고 있는 서버가 있다. 요즘 핫한 머신러닝을 위한 GPU 계산서버다. 사실 공용으로 쓰이는 컴퓨터는 누가 무슨 작업을 하는지 일일이 점검하기 어렵기 때문에 방치되는 경우가 많다. 그러다가 어느순간 문제가 생기면 그때부터 발등에 불이 떨어지게 된다.


랩실에 출근하여 한가롭게 책을 읽고 있었는데, 학교 정보통신팀의 보안부서에서 연락이 왔다.

IP 125.***.***.*** 의 관리자시냐? 라는 전화였다. 무작위한 IP Source에서 대상 시스템으로 일종의 DDoS공격 수준의 대량 트래픽이 유출되고 있다고 했다.


아마추어이지만 나도 귓동냥으로 들은 지식에 전화상으로 한두마디 주고받은 후 해당 서버에 접속했다.


우선 TCPDump로 네트워크 패킷을 떴다.

아래와 같은 패킷들이 미친듯이 춤을 추고 있었다. 속도가 굉장한 트래픽이었다.

몇 줄을 예로들어보자. 출발지 IP가 여러개인데, 이상하다. 우리 IP가 아닌데 이 패킷들이 우리 PC에서 출발했다고? 주소를 조작한 것이다. 그리고 도착지 IP는 180.101.73.70.20561 으로 일정하다. 포트도 잘 사용하지 않는 20561인 점이 의심스럽다. 어쨌거나 180.101.73.70이 해커가 정보를 받아가는 쪽일 것이다.

지난 번 글에서 [Python] IP 주소로 국가 식별하기 라는 내용을 다룬 적이 있다. 해당 방법을 사용하거나, GeoIP 등을 사용하면 공격자의 IP인 180.101.73.70이 어느 국가에 위치했는지 알 수 있다.

확인결과 중화인민공화국 난징 시의 장쑤 성으로 나온다. GPS 좌표는 32.0617,118.7778 이지만 분명 오차가 있을 것이다.


다음으로 top 으로 프로세스 상태를 확인해보았다.

rambar라는 계정에서 실행된 minergate-cli 라는 명령어가 굉장히 CPU를 많이 점유하고 있었다. rambar 계정을 사용하시는 분께 연락드려보았지만 금시초문이었다. 해당 계정은 패스워드를 초기에 지급받은 그대로 운영되고 있었다. 아마 패스워드 유추를 통해 계정을 해킹한 듯 하다.


작동중인게 어떤 프로세스인지 확인해보았다.

/opt/minergate-cli 라는 명령어는 뭘까?

구글에게 물어보았다. 

ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ  비트코인 등 가상화폐를 채굴하는 프로세스였다. (아래 홈페이지에서 확인)

친절한 설명에 따르면 아래와 같은 명령어는 계산작업을 수행하는 것이며, asdfmnyy@hmamail.com 라는 이메일 계정을 쓰는 사람이 우리 서버를 해킹하여 들어온 후 프로세스를 돌린 것이다.


여기까지 확인된 사항을 정보통신팀에 회신하였고, 이후의 상황은 그쪽으로 작전통제권이 넘어가서 잘 모르겠다. 아마 구체적 확인을 위해 당장은 프로세스를 종료시키지 않고 역추적을 하려나보다. 보고서 쓰는 것도 일이겠지.;;

5시간 동안 열심히 비트코인을 채굴한 우리의 서버는 GPU와 FAN에 문제가 생긴것 같다. 이거는 어디에 어떻게 배상을 청구할수도 없고 미치겠네;  해커 "asdfmnyy@hmamail.com" 이 새X 나쁜X끼


안타깝게도 이번 일로 인해 우리 학과에서 사용하는 PC에 대한 관리지침이 강화될까봐 걱정이다. 


CPUU님의 창작활동을 응원하고 싶으세요?