안녕하세요?

 

염심히 눈팀만하다  궁금증이 생겨서 문의드려봅니다.

Ubuntu 18.04, NGINX 적용 중입니다.

 

1. 상황 

   - 오늘 새벽 3시 ~ 4시경에 갑자기 서버가 미친듯이 움직여 load average가 5.7까지 올라가더군요. 

     평소 널널해서 0.2 ~ 0.3 정도 찍곤 했는데요(CPU 1, RAM 2GB 작은 사이트)

   - 무슨 공격을 받나보다 그러다 말겠지하고 다른 작업을 했는데 1시간정도 광란의 수치를 보여주더니 정상으로 돌아오더군요..

     이러다 다운되는 것 아니야라고 생각하며 다운되면 다시 부팅시켜야겠다고  단순 생각했죠. 그냥 넘어가서 뭐 loag average 5를 넘겨도 버티네하며 신기해 하고 있어음

  

2. 특별히 변동된게 없는 듯 싶어 그냥 넘어가려다 루트에서 ls명령을 쳐보니 basic_passwords.txt 라는 파일이 생겼더군요.

    열어보니 기본적으로 사용하는 패스워드들 리스트가 들어 있는데요.

    이게 누가 만들어 놓은 것일까요? 해킹되어서 해커가 놓고 간것인지 라는 생각도 듭니다.

 

3. 해킹당했는지 점검해보는 몇가지 툴로 점검해 봤는데 이상은 없었습니다. history도 특별한거 없고 password도 이상 없는 것 같고...

 

혹시 이게 뭔지 아시는 분 없을까요?

 

찜찜해서 서버는 다시 설치하려고 합니다.

 

미리 감사드려요

TAG •
  • ?
    https://github.com/major/MySQLTuner-perl/blob/master/basic_passwords.txt

    혹시 이 파일이랑 똑같은가요?
  • profile

    네 그러네요..

    바로 알려주셔서 감사합니다.


    mqsqltuner.pl에서 만드는 파일인가보네요..