내부망 서버 xmrig 채굴 웜 감염

17대의 내부망 서버들이 다 채굴기가 되어버렸다. 

 

./xmrig 파일이 계속 ubuntu의 game 디렉토리에 생성되서 3시간 정도마다 실행된다.  

끄고 삭제해도 계속 생겼다. 

 

https://velog.io/@rhss10/%EB%B3%B4%EC%95%88-%EB%A6%AC%EB%88%85%EC%8A%A4-%EC%84%9C%EB%B2%84-%EC%95%94%ED%98%B8%ED%99%94%ED%8F%90-%EC%B1%84%EA%B5%B4-%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C-xmrig-%EB%8C%80%EC%B2%98-%EB%B3%B4%EC%95%88-%EA%B4%80%EB%A6%AC-%EA%B8%B0%EC%B4%88-gyaeb38a

[보안] 리눅스 서버 암호화폐 채굴 악성코드 (xmrig) 대처 & 보안 관리 기초

와 같은 증상이다. 

 

ps -aux로 확인해보니 최근에 /usr/bin/a312bvf3 이런 이름의 파일들이 실행중이 었다. 

해당 프로세스를 죽이니 더이상 작동하지는 않았다. 

 

추가로

journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure" journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"

를 해보니, 

내부망의 특정 서버에서 모들 서버들에 초당 5번의 ssh 로그인 시도가 있었다. 

 

전산원에 연락하여 해당 IP를 차단해달라고 문의하였다. 

 

이후로는 발생하지 않음. 

 

보안을 강화하려고 해도.. 각자가 본인 서버를 관리해야하는데 그런 의지와 협조가 불투명하다.. 전산팀에서 잘 해주길 바래야지.