엉성하게 설정한 tomcat에 fexcep 해킹이 들어왔다. 조심하자. by 오리대마왕

항상 사내망에 물려있어 외부로 노출되지 않았기에 tomcat 서버 설정을 간단히 했다. 계정도 그냥 admin/admin 으로 설정을 했었지. 그런데 잠깐 외부망에 고정IP 로 물려놓고 점심 먹고 들어온 사이에 해킹되었다. 방법은 다음과 같았다.
  1. 만약 tomcat webserver를 찾아내었다면, 기본으로 깔리는 manager 를 통해서 이것저것 값을 조합해서 관리자 계정 로그인을 시도한다.
  2. 만약 통했다면 killfexcepshell.war 를 deploy 한다.
  3. war 안에는 2개의 jsp ( index.jsp, ok.jsp ) 가 들어있는데, 특정 header(Cache-Vip-Url)를 포함시켜 index.jsp 에 요청을 날리면 index.jsp 는 해당 header 정보가 가진 url에서 파일을 다운로드 받는다.
  4. 만약 windows 서버라면 해당 파일을 실행시킨다. (해킹툴이겠지?)
  5. tomcat manager 의 password를 바꿔버린다. 한번 deploy되면 이제 jsp 를 통해 서버의 local 자원에 맘대로 접근할 수 있기 때문에 tomcat-users.xml 내용을 통짜로 바꿔치기한다.
  6. 2번 단계에서 deploy한 killfexcepshell 를 undeploy 하여 완전범죄인 척 함.
내 경우 시스템 설정 중이었기에 계속 tomcat 로그를 보고 있어서 무슨 일이 일어났는지를 파악했는데, 만약 그렇지 않았다면 몰랐을 것이다. 다운로드 된 파일들은 C:\WINDOWS\system32\mui\fexcep 에 존재하였다. 그리고 다운로드 된 이상한 exe 파일 프로세스가 돌고 있더군, 젠장.

이번 사건으로 아무리 내부 테스트용 웹서버라 할 지라도 id, password 를 제대로 설정해야 한다는 교훈을 얻었다. 그나저나 이런거 만드는 녀석들은 걸리면 손가락을 다 잘라버렸으면 좋겠다. 다신 키보드에 손을 못대도록.

비슷한 내용의 글이 프랑스어로 올라왔는데 무슨 말인지는 모르겠지만 대강 코드를 보면 이해할 수 있을 것이다. 아, 영어로 된 글도 있다.

덧글

  • 손님 2011/06/29 17:58 # 삭제

    왁 저도 들어왔어요 글감사해요 !!! 이 프로세스가 돌면서
    PID가 자꾸 겹쳐서 바인드익셉션도 나구 정말.ㅠㅠ 짱났는데 ..ㅠㅠ 고맙습니다
※ 로그인 사용자만 덧글을 남길 수 있습니다.