[AWS] DB서버 해킹 - READ__ME_TO_RECOVER_YOUR_DATA

안녕하세요.

 

오늘은 DB서버 해킹 - READ__ME_TO_RECOVER_YOUR_DATA에 대해 알아보려고 합니다.

 

일전에 필자가 아마존 클라우드를 통하여 몽고디비를 설치하여 진행해온 결과 며칠 안되서 데이터베이스와 컬렉션을 해킹 당했습니다.

 

기존에 있던 데이터베이스들은 사라지고 한 데이터베이스의 이름이 나오게 됩니다.

 

- READ__ME_TO_RECOVER_YOUR_DATA

해당 디비를 선택해서 어떤 컬렉션이 있는지 조회를 해보고 README 라는 컬렉션이 존재하는걸 확인했습니다.

해당 컬렉션을 전체 조회해본 결과 어떤 내용이 나옵니다.

All your data is a backed up. You must pay 0.06 BTC to 168i2g62fcXwu3GYAJM4FAksxEmNnDjCkm 48 hours for recover it. After 48 hours expiration we will leaked and exposed all your data. In case of refusal to pay, we will contact the General Data Protection Regulation, GDPR and notify them that you store user data in an open form and is not safe. Under the rules of the law, you face a heavy fine or arrest and your base dump will be dropped from our server! You can buy bitcoin here, does not take much time to buy https://localbitcoins.com or https://buy.moonpay.io/ After paying write to me in the mail with your DB IP: rambler+1umss@onionmail.org and/or mariadb@mailnesia.com and you will receive a link to download your database dump.

모든 데이터를 백업해두었으니 해당 지갑으로 0.06 비트코인을 결제하고 이메일을 달라는 문구입니다.

 

필자는 아직 넣어놓은 데이터가 없어서 새로 다시 파면 되긴합니다만.

 

이전 게시글에서 제가 몽고디비를 디폴트 포트, 모든 아이피에 대해 인바운드를 할 수 있게 열어두어서 이런 문제가 발생한 것 같습니다.

 

이전 글을 몽고 디비 설치와 몽고 디비가 정상적으로 설치가 되었는지에 대해서 테스트를 해본 것으로 보안 문제를 너무 쉽게 생각한 것 같습니다...!

 

이전 글에서 보안을 중요시 생각하시는 분들은 본인의 아이피를 설정해달라고 문구를 적어놓긴 했지만 혹시 모를 사태를 방지하기 위해서 첫 설정부터 인바운드 설정 시 0.0.0.0/0 이 아닌 본인의 외부 아이피를 적어서 사용하시기 바랍니다!

 

내 외부 아이피를 확인하는 방법

1. 네이버에서 내 아이피 확인

2. 구글에서 내 아이피 확인

 

몽고 디비를 포함한 아마존 클라우드를 생성할 때 key을 선택하지 않으셨다면 해킹 위험에 심히 노출이 되어 있을 겁니다.

 

반드시 key(pem)파일을 부여받아서 아마존 클라우드를 사용하시기 바랍니다!

 

꼭 인스턴스와 연결된 보안그룹에서 인바운드 규칙 설정 시 본인의 아이피를 확인하여 설정해주시기 바랍니다!

 

이렇게 DB서버 해킹 - READ__ME_TO_RECOVER_YOUR_DATA에 대해서 알아보았습니다.

 

감사합니다.