aws ec2 cpu 사용량이 100% 가까이 올라갔습니다.
그 원인이 뭘까 싶어서 httpd 로그를 확인해보았지만 …..
vhost가 수십개라서 찾기가 쉽지 않았습니다.
메모리 용량도 85%가 넘어가면 자동으로 아파치 서버를 재실행 하도록 해놓았는데..
로그를 확인해보니 2021년 5월 19일 바로 오늘이죠..
오늘 오후 3시부터 갑자기 재실행을 주기적으로 하고 있더군요.
리스트를 메가단위의 M 그리고 오늘날짜 5월 19일의 May 19만 나오도록 했더니
ll -h | grep 'M May 19'
몇개의 의심가는 로그가 보였습니다.
왜냐하면 그 로그가 쌓이는 워드프레스는 https 기간이 만료되어서 접속자가 없어야지 정상이었거든요…
보안상 취약한 플러그인을 찾아내어서 그 플러그인이 존재한다면 취약점을 이용하여 해킹툴을 깔기 위한 로봇으로 보입니다.
마지막으로 WebApplication1 WebApplication2 WebApplication3을 검색해보더니 최종 404 페이지가 뜨니깐 그이후로는 접속을 하지 않는군요.
아마도 또 다른 누군가의 워드프레스 서버에 붙어서 기생 준비를 하는듯합니다.
221.150.255.103 아이피를 확인해보니 대한민국 광주 근처로 나옵니다.
프록시 아이피를 쓰던 뭘 쓰던 결국 최종 검색지점이 우리나라라서 조금 더 아쉬움이 남네요…
해킹 시도는 외국인이 했지만 프록시로 우리나라 아이피가 사용되었다고 생각하겠습니다.
우리나라 사람들이 생산적이고 좋은 일만 했으면 하는 바램입니다.
다시 제 서버는 평화가 찾아왔고 cpu들은 게으름을 피우기 시작합니다 ㅎㅎ
혹시라도 저처럼 아무 이유없이 갑자기 cpu 사용량이 늘어나셨다면 제일먼저 로그부터 확인해보세요
그다음 로그가 갑자기 늘어난 vhost 를 대상으로 잠시 폴더를 mv명령어로 끊어보시기 바랍니다.
그리고 cpu 사용량 체크하면서 어떤녀석이 원인인지 찾아내고 해킹시도라면 ip차단하면됩니다.