1주일 전 부터
/root/.java/.userPrefs/java 프로세서가 나타나시 TIME+을 몇시간 심지어 20시간 넘게
저렇게 살아서 CPU를 100% 먹네요. kill 로 죽이면 서버가 다시 돌아오는데
깜빡하고 놓치면 서버가 죽기도 합니다.
비슷한 경험 있으신분 있나요?
이럴때 어떻게 해야 하나요?
말씀하신대로 JAVA로 만든 사용하는 프로그램에서 문제가 생긴 부분이더군요,
웹서버 관리하는 Administrator console이라는 웹페이지의 log를 분석해보니 그시점 부터 해외 IP (암스테르담, 오스트리아, 미국등등)에서 접속을 해서 심지어 admin권한을 얻어서 작업을 하더군요, 실행 명령을 수신해서 실행을 시키는 것으로 보이는 내가 배포하지 않은 웹서비스는 삭제하였고, 해당 admin console웹페이지는 disable시켜놓고 콘솔의 로그를 계속 관찰해보는데 매일 뻔질라게 자기집 들어오듯 하던 로그 기록들이 일단 12시간 이상 보이지 않고 있습니다.
원래 웹 관리 화면을 disable시켜 두는데, 설정값을 바꿀때 잠깐 enable시켜서 명령어로 하기 귀찮고 힘들때, disable을 안시켜 둔적이 있었는데... GlassFish 4는 자동 업데이트가 없어서 최신 버전인 GlassFish5를 손으로 패치해야 하는 상황이라 미루고 미루었더니 쩝...
자답
해당 프로세스는 webChain-miner 를 실행시키는 악성코드였습니다.
채굴 하는 프로그램이 CPU를 먹고 있었다니..
해당 프로그램은 삭제했는데 어떻게 들어 온걸까요...
update upgrade 꾸준히 해왔는데..
아무리 OS 자체를 계속 업그레이드해 왔다고 해도
아무리 OS 자체를 계속 업그레이드해 왔다고 해도 직접 작성했거나 따로 설치한 자바 프로그램에 취약점이 있을 수도 있습니다. 그 쪽은 확인해 보셨나요?
원인을 찾았습니다. GlassFish 4 라는 웹서버에 취약점을 이용해 들어온것이더군요.
말씀하신대로 JAVA로 만든 사용하는 프로그램에서 문제가 생긴 부분이더군요,
웹서버 관리하는 Administrator console이라는 웹페이지의 log를 분석해보니 그시점 부터 해외 IP (암스테르담, 오스트리아, 미국등등)에서 접속을 해서 심지어 admin권한을 얻어서 작업을 하더군요, 실행 명령을 수신해서 실행을 시키는 것으로 보이는 내가 배포하지 않은 웹서비스는 삭제하였고, 해당 admin console웹페이지는 disable시켜놓고 콘솔의 로그를 계속 관찰해보는데 매일 뻔질라게 자기집 들어오듯 하던 로그 기록들이 일단 12시간 이상 보이지 않고 있습니다.
원래 웹 관리 화면을 disable시켜 두는데, 설정값을 바꿀때 잠깐 enable시켜서 명령어로 하기 귀찮고 힘들때, disable을 안시켜 둔적이 있었는데... GlassFish 4는 자동 업데이트가 없어서 최신 버전인 GlassFish5를 손으로 패치해야 하는 상황이라 미루고 미루었더니 쩝...
혹시 GlassFish4 사용하시는 분들 도움될 수 있을거 같아 댓글 남깁니다.
댓글 달기