[ubuntu server] 헤킹당함. (kswapd0)

상황

- 잘 동작하던 메인 서버 cpu 온도가 상승한 상태로 과부하 걸려 있습니다.

- kswapd0 이 주범이었습니다.

구글링

- kswapd0 은 스왑메모리 관리 프로세서 라고 합니다. (유용한 앱이라는 말이죠)

- 해결책은 메모리를 늘려라 !!!

다양한 시도

- 스왑메모리 캐시 삭제 (현재 명령어는 생각나지 않네요)

- 스왑메모리 사용안하는 옵션

해결

- kswapd0 가 멀웨어라는 글도 보였습니다.

 guest 계정을 통해서 접속해서, 악성바이러스를 심어놓는다고 합니다. 주로 코인생성기라고 합니다.

hs7@hcp:~$ sudo userdel -r guest                     #guest 계정 삭제 시도
[sudo] password for hs7:
userdel: user guest is currently used by process 1386          #guest 계정이 사용중이라 삭제불가

 

hs7@hcp:~$ sudo userdel -f guest                      #강제삭제시도
userdel: user guest is currently used by process 1386

hs7@hcp:~$ sudo ps -ef                                  #프로세서 리스트

root        1269       1  0 02:50 ?        00:00:00 nginx: master process /usr/l
admin       1270    1269  0 02:50 ?        00:00:00 nginx: worker process
root        1277       1  0 02:50 tty1     00:00:00 /sbin/agetty -o -p -- \u --n
1002        1386       1  0 02:51 ?        00:00:00 rsync                    #요놈이 악성앱
1002        1391       1  0 02:51 ?        00:00:00 rsync
1002        3258       1 99 02:51 ?        04:54:56 ./kswapd0
root        4326       1  0 02:51 ?        00:00:00 php-fpm: master process (/us
root        8042       1  0 02:51 ?        00:00:04 /usr/bin/perl -T -w /usr/sbi
root        8196       1  5 02:51 ?        00:05:38 /usr/bin/dockerd -H fd:// --
root       15917    8042  0 02:51 ?        00:00:00 spamd child

hs7@hcp:~$ sudo kill -9 1386                         #1386 rsync 를 중지
hs7@hcp:~$ sudo userdel -f guest                   #guest 삭제
userdel: user 'guest' does not exist

sudo find /home kswapd0                      #혹시 kswapd0 흔적이 남아 있는지 확인

 

cat /etc/passwd                              #guest 계정이 아직 살아 있는지 확인

- 결국 guest 계정 삭제 후, 서버가 정상 작동 합니다.

고백

- sftp 사용을 위해, guest 계정을 만들었습니다. 다만, 암호를 guestguest 로 했는데, 이것이 뚫린듯 합니다.

다행

- 그나마, telegram bot 을 통해서, 10분간격으로 CPU 온도를 확인할 수 있었기에 다행이라 생각합니다.

- 한나절(12시간) 동안 헤커의 코인 만들기에 피해를 받았지만, 공부 많이 했습니다.