안녕하세요.
물어 볼 곳도 불어볼 사람도 없는데 검색을 통해 알게 되었습니다. 가입 하자마자 문의 드려 죄송합니다. 
 
vultr 서버를 사용중이며 서버 관련 지식이 없어서 서버 세팅을 인터넷 보면서 세팅을 하였습니다.
cloud compute, nginx, ubuntu 22.04, php8.0으로 하였고 워드프레스 5.0 설치 하였습니다. 

그동안 잘 쓰고 있었는데 오늘 사이트 접속을 해보니 사이트 접속이 안되어서 (비용이 모자라서는 아닌거 같습니다.잔액이 있어요) vultr 로그인 하여 보니 suspend라고 되어 있고 온 메시지 (이걸 티켓이라고 하나요?) 를 구글 번역 해보니 bruteforcelogin 을 이용하여 다른 서버를 공격 하였으며 7일의 유예 기간 후에 네트워크에서 더 많은 공격이 감지되면 보고서가 시작된다고 합니다. (해킹에 쓰였다는 의미로 이해 하였습니다.) 

 

그런데 그 다음 말들은 번역을 해도 무슨 말인지 이해가 잘 안됩니다.

 

https://www.blocklist.de/en/insert.html?ip=158.247.226.240 여기 보면 3번 공격이 있었는데 이걸 어떻게 해제 할수 있는지 메일을 여러번 봐도 알수가 없습니다.  1주일이 지나면 자동으로 해제가 될까요?

서버세팅 할때 중요한 사항을 빼먹고 한거 같아 당황스럽고 막막하네요.
 

메일 보내서 (티켓? 보내서) 해제 해 달라고 하면 해 줄까요? 

아래와 같은 공격은 어떤 조치를 하면 막을수 있나요?
vultr 관리자에서 방화벽을 따로 지정 하지 않았는데 하는게 도움이 될까요?

해결 실마리를 찾을 조언 꼭 부탁드립니다. 어디를 참조 할지라도 알려주시면 열심히 해결해 보겠습니다. 감사합니다. 

 

22.jpg

 

11.jpg

문의는 위 open ticket로 하는건가요?

 


Hello Abuse-Team,
your Server/Customer with the IP: *158.247.226.240* (158.247.226.240.vultrusercontent.com) has attacked one of our servers/partners.
The attackers used the method/service: *bruteforcelogin* on: *Fri, 11 Mar 2022 22:00:34 +0100*.
The time listed is from the server-time of the Blocklist-user who submitted the report.
The attack was reported to the Blocklist.de-System on: *Fri, 11 Mar 2022 22:00:37 +0100*
!!! Do not answer to this Mail! Use support@ or contact-form for Questions (no resolve-messages, no updates....) !!!
The IP has been automatically blocked for a period of time. For an IP to be blocked, it needs
to have made several failed logins (ssh, imap....), tried to log in for an "invalid user", or have
triggered several 5xx-Error-Codes (eg. Blacklist on email...), all during a short period of time.
The Server-Owner configures the number of failed attempts, and the time period they have
to occur in, in order to trigger a ban and report. Blocklist has no control over these settings.
What means "bruteforcelogin"?
The IP has called many Logins on Wordpress, Webmin, Plesk or other CMS/Controllpanels.
http://support.hostgator.com/articles/specialized-help/technical/wordpress/wordpress-login-brute-force-attack
The Script use in the most cases Firefox40, BingBot and GoogleBot as UserAgent (grep for like this in the first line of file:
"$qdtoewomza=substr($bstzohlitn,(59324-49211),(81-69)); $qdtoewomza($gidldupbhh, $xeipowxwpd, NULL);.*=.*; ?><?php"
and replace the Variables to Wildcard * in the Webspace) and often the name was "mod_system.php"
Alle files which has inside "?><?php", please look in the first line of file!
Please check the machine behind the IP 158.247.226.240 (158.247.226.240.vultrusercontent.com) and fix the problem.
This is the 3 Attack (reported: 2) from this IP; see:
https://www.blocklist.de/en/view.html?ip=158.247.226.240
If you need the logs in another format (rather than an attachment), please let us know.
You can see the Logfiles online again: https://www.blocklist.de/en/logs.html?rid=1036851049&ip=158.247.226.240
You can parse this abuse report mail with X-ARF-Tools from http://www.xarf.org/tools.html e.g. validatexarf-php.tar.gz.
You can find more information about X-Arf V0.2 at http://www.xarf.org/specification.html
This message will be sent again in one day if more attacks are reported to Blocklist.
In the attachment of this message you can find the original logs from the attacked system.
To pause this message for one week, you can use our "Stop Reports" feature on Blocklist.de to submit
the IP you want to stop recieving emails about, and the email you want to stop receiving them on.
If more attacks from your network are recognized after the seven day grace period, the reports will start
being sent again.
To pause these reports for one week:
https://www.blocklist.de/en/insert.html?ip=158.247.226.240&[email protected]
We found this abuse email address in the Contact-Database abusix.org. This is because we could not parse
an abuse/security-Address (e.g. abuse-mailbox, abuse@....) in the Whois, or the Whois request has been
rejected (usually because of a registrar's limits on the number of Whois requests we can perform in a day).
If this is not the right address to send abuse reports to, please contact [email protected]: http://abusix.org/services/abuse-contact-db
Reply to this message to let us know if you want us to send future reports to a different email. (e.g. to abuse-quiet or a special address)
------------------------------
blocklist.de Abuse-Team
This message was sent automatically. For questions please use our Contact-Form (autogenerated@/abuse-team@ is not monitored!):
https://www.blocklist.de/en/contact.html?RID=1036851049
Logfiles: https://www.blocklist.de/en/logs.html?rid=1036851049&ip=158.247.226.240
------------------------------

 

 

  • Lv36

    님 서버가 해킹당해서 또다른 서버를 해킹하는 중간기지로 사용되고 있다는 뜻입니다.

    vultr 측에서는 다른 서버를 보호하기 위해 님 서버를 강제로 종료시켰고요.

     

    워드프레스 및 플러그인들을 신속하게 업데이트하지 않거나,

    사용하시는 플러그인 중 문제가 있다고 알려진 것은 없는지 자주 체크하시지 않으면

    언젠가 일어날 수밖에 없는 일입니다. 특히 플러그인들이 문제가 많아요.

    아니면 서버 세팅에 허점이 있어서 그냥 누가 악성코드를 업로드했을 수도 있고요.

     

    우선 해킹당한 플러그인이나 악성코드를 제거하기 위해 서버에 접속할 수 있도록 해달라고 vultr에 요청한 후,

    실제로 문제 있는 플러그인이나 악성코드를 찾아서 제거하셔야 합니다. 눈가리고 아웅 안 통합니다.

    그리고 다시 vultr에 서버를 정상화시켜 달라고 요청해야 정상적인 운영이 가능하게 됩니다.

    악성코드를 찾아내기 어렵다면 이 서버를 영영 포기해야 할 경우에 대비하여

    그나마 임시접속이 가능할 때 사이트와 DB를 백업해 두는 것이 좋습니다.

     

    방화벽 등 님이 직접 바꿀 수 있는 어떤 설정과도 무관한 문제이고,

    서버 내에 설치된 악성코드를 찾아 없애기 전에는 절대 저절로 차단 해제되지 않습니다.

    너무 오래 끌면 해지되어 버릴 수도 있으니 신속하게 대응하셔야 합니다.

     

    모든 문의는 해당 티켓에 댓글을 다는 방식으로 하세요.

    그냥 문의메일 보내면 티켓과 연결되지 않아서 혼란이 생길 수 있습니다.

    물론 답장 알림은 메일로 올 테니 지금 당장 폰에 실시간 메일알림 설정하시고요.

    해외 호스팅업체 사용하신다면 메일을 SMS처럼 취급하셔야 합니다.

    이틀씩 메일 확인 안 하고 그러시면 큰일납니다... ㅠㅠ

  • Lv36 ?
    답변 감사드립니다. 도움이 많이 되었습니다. 악성 코드를 제거할 실력이 안되어서 말씀 해 주신 대로 일단 접속이 가능하도록 요청을 하고 db나 파일 백업을 해야겠네요. 메일 알림도 바로 하겠습니다. 좀 전에 메일 들어가 보니 뭔가 잔뜩 와 있었네요. 진행 하고 결과 댓글로 남기겠습니다. 감사합니다.
  • ? Lv36

    네, 제거하고 확인받기 어렵다면 일단 데이터만 다운받으신 후에 "이 서버는 내가 복구할 실력이 안 되어서 포기하고 새로 만들겠다"라고 요청하시는 방법도 있습니다. 새 서버에 올리실 때는 조금이라도 의심스러운 테마나 플러그인은 제외하고, 혹시 파일명이 eufdsfhydsf.php 이렇게 랜덤으로 된 것이 보인다면 그런 것도 모두 제거하시고요. 워드프레스 코어 파일을 변조하는 악성코드도 많으니 정식버전으로 다시 한 번 덮어씌우는 것이 좋습니다. 악성코드가 남아 있다면 또다시 이런 사태가 일어날 테니...

  • Lv36 ?
    조언 감사합니다.

    서버 세팅하고 워드프레스 설치 과정에서 좀 허술했다는 느낌도 있습니다. 기존 자료 백업이 되면 vultr에서 제공하는 자동 서버? 세팅으로 해보려고 합니다. 워드프레스 어렵네요...

    진행 상황은

    이렇게 보냈는데
    Hello.
    I'm sorry my server is being used to attack other servers.
    We will find and remove WordPress plugins or malware used for hacking.
    Can you please allow to connect to the server?

    이렇게 답변이 왔습니다. 긍정적인 느낌이긴 한데 언제 풀어 준다는 말은 없어서. 불안 합니다.
    Thank you for responding to this possible Terms of Service [ToS] inquiry. We will review your response and notify you of any followup requirements.
    We appreciate your cooperation and patience, as some time may pass before we are able to post again.
    To update or check the progress of your ticket, please reply directly to this e-mail or visit:

    공격 당한 곳 이라고 합니다.

    I would like to report hacking attempts against my webserver.
    Attacker IP address: 158.247.226.240
    Attacker Source Port: 55522
    My Server IP: 173.255.242.227
    My domains: erich360.com
    Please see XARF report attached
    Logs
    158.247.226.240:55522 - - [09/Mar/2022:21:01:21 +0000] "POST /xmlrpc.php HTTP/1.1" 403 170 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" "-"
    158.247.226.240:55520 - - [09/Mar/2022:21:01:20 +0000] "POST /wp-login.php HTTP/1.1" 200 8731 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" "-"
    158.247.226.240:55518 - - [09/Mar/2022:21:01:19 +0000] "GET /wp-login.php HTTP/1.1" 200 8319 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" "-"
    158.247.226.240:49682 - - [09/Mar/2022:18:39:51 +0000] "POST /xmlrpc.php HTTP/1.1" 403 170 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" "-"
    158.247.226.240:49676 - - [09/Mar/2022:18:39:50 +0000] "GET /wp-login.php HTTP/1.1" 200 8319 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" "-"
    158.247.226.240:49680 - - [09/Mar/2022:18:39:50 +0000] "POST /wp-login.php HTTP/1.1" 200 8731 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" "-"
  • ? Lv36
    자동세팅도 어설픈 건 마찬가지예요. 플러그인이 뚫리면 어차피 소용없습니다. ㅠㅠ

    다른 워드프레스 사이트에 로그인 시도를 하고 있군요.

    서버를 그냥 켜주면 다시 공격이 일어날 가능성도 있으니 내부망만 열어준다거나 할 수도 있습니다. 뭐라고 응답하는지 좀더 기다려 보세요.^^
  • Lv36 ?
    아 그렇군요. 좋다는 거 다 적용 해보고 조금이라도 이상한 플러그 인은 깔지 않도록 신경 바짝 써서 해야겠네요. 기진곰 님 덕분에 희망의 보입니다.
  • Lv36 ?
    어제 밤 9시에 풀렸다고 메일이 왔습니다. 오늘 들어가보니 이제 서버 시작이 가능합니다. 기진곰 님 덕분에 해결 되었습니다. 감사합니다.
  • Lv12
    워드프레스 무료 테마 같은거 잘 보셔야 합니다. 어떤건 무슨 메일을 수도없이 전송 시도해서 시퓨 100프로 나기도 하고 뭐 할때마다 특정 주소로 데이터 전송하기도 하고 그래요
  • Lv12 ?
    무료테마 여러개 설치 하였습니다. phpmyadmin 쓸때마다 뭔가 오류 있다고 메일이 오긴 했었는데 무시했었어요. 답변 감사합니다.
  • ? Lv18
    "phpmyadmin 쓸때마다 뭔가 오류 있다고 메일이 오긴 했었는데"

    정상적으로 세팅하신 경우 phpmyadmin을 쓴다고 메일이 오지 않습니다. 이때부터 구성이 단단히 잘못되었던것으로 보입니다. 호스팅사에서 메일을 보내는 경우 홍보메일 제외 대부분 계정에 문제가 생겼다는 뜻이니 절대 무시하시면 안됩니다.
  • Lv18 ?
    답변 감사합니다. 지금 찾아보니 그 메일을 다 지웠나 봅니다. 호스팅에서는 오지 않고 워드프레스에서 보낸 메일이었습니다. 무슨 복구 모드 해제 하려면 어떻게 해라 라는 내용이었던거 같습니다. 크게 신경을 안썼는데 문제가 있는거였군요.
  • ? Lv18

    어쨌건 전혀 상관없는 동작중인데 메일이 온다는건 의심해 보셔야 합니다. 특히 계정내 phpmyadmin 설치시 같이 공격대상이 됩니다.

    특히 폴더명도 압축파일 그대로 해놓으면(phpMyAdmin-5.1.3-all-languages 같은) 안되시는게 당연히 대부분의 사람들이 폴더명 안바꾸는거 알고 있어서 대입식 공격시 도메인/phpMyAdmin-5.1.3-all-languages 폴더나 그 변형은 꼭 시도해봅니다. 강좌에서 mypassword 이런식으로 해둔걸 변경 안하셨다면 충분히 db 접근 권한을 얻어 백도어 설치가 가능했을겁니다.

  • Lv18 ?
    어제 밤 9시에 풀렸다고 메일이 왔습니다. 오늘 들어가 보니 이제 서버 시작이 가능합니다. 정말 다행입니다. DB 비번은 변경을 했었는데 다시 재 설정 하고도 메일 오면 조심 하겠습니다. 감사합니다.
  • Lv12
    일단 55522 포트 막으시고 방화벽으로 필요한 포트만 열어놓는것을 추천드립니다
  • Lv12 ?
    네 일단 접속 풀리면 그렇게 해보겠습니다. 혹은 새로 설치 하더라도 필요한 포트만 열도록 하겠습니다. 감사합니다.
  • Lv12 Lv18

    55522 포트는 아웃바운드 포트라서 따로 막을필요 없고 막아서도 안될겁니다(외부요청 자체를 막으면 곤란하겠죠)

    포트차단보다는 외부에 요청하는 소스부터 파악해야죠

  • Lv18 ?
    알겠습니다. 어떻게 해야 할지 점점 감이 안 오고 있어요. 하하

    워드프레스 파일 권한도 위 해킹과 관련 있을 수 있나요? 755 , 644 등등이요
    외부에서 ping 도 허용 했었는데 이런 부분도 관련 있는지 궁금 합니다.
    아무리 그래도 root 관리자 비번으로 해커가 들어 오는 건 힘들겠죠?
  • ? Lv18
    권한이나 핑 허용은 크게 상관없는데 루트 비번은 중요합니다. 해킹시 제일 먼저 접속 시도해보는게 루트 계정이거든요. 기본 루트 비번 그대로 사용하시면서 fail2ban도 설치하지 않으신 경우 순식간에 뚫릴수 있습니다.
  • Lv18 ?
    답변 감사합니다. fail2ban 적용을 할까 말까 했는데 이건 꼭 적용 해야 겠네요. 비번은 10자리 제가 자주 쓰는 걸로 했는데 혹시 root는 접속을 막고 다른 아이디에 root 권한을 줄수도 있나요?

    가능하다면 워드프레스 플러그인 삭제, fail2ban, root접속을 막는걸 적용 해봐야겠습니다.
  • ? Lv18
    네. 당연히 가능하며 오히려 root 원격 로그인은 막고 다른 아이디에 root 권한(sudo 권한)을 주는게 일반적입니다.
  • Lv18 ?
    어제 밤 9시에 풀렸다고 메일이 왔습니다. 오늘 들어가보니 이제 서버 시작이 가능합니다. 말씀 하신 방법을 찾아서 실행 하여보겠습니다. 감사합니다.
  • Lv9

    DB와 첨부파일 디렉토리만 백업 받고 (이것도 사실 지금 백업받아야 한다면 문제 있는 것입니다. 자동으로 다른 서버에 백업되도록 했었어야지요), 서버는 버리는 편이 나을 것 같습니다. 해킹된 서버에서 숨겨진 악성코드나 백도어를 전부 찾아내는 것은 전문가라도 어렵습니다. 

  • Lv9 ?
    DB를 자동으로 다른 서버에 백업 할 수 있다는 걸 지금 알았습니다. 찾아서 해 보겠습니다. 말씀 하신대로 DB와 첨부 파일 백업하고 공부 좀 더 해서 다시 세팅 하는 방법을 생각 중입니다. 조언 감사합니다.