우분투 mysql 해킹당한 썰

최근 이틀간 mysql에 접속하려고 하면 다음과 같은 오류가 떠서 서버가 매일 죽고있나 의심을하다가, 매번 데이터가 날라가기도 해서 해킹이 아닌가 의심을 품게되었다.

DB : ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2)

문제의 에러코드. systemctl start mysql을 통해 서비스를 다시 시작해주면 접속이 가능해졌다.

 

아뿔싸. RECOVER_YOUR_DATA라는 데이터베이스가 생성되어 있어서 확인해보니 해킹당한게 맞았다.

 

All your data is backed up. You must pay 0.0115 BTC to 1tpwVPxbRNtQuzKonhzdEsJL8n562uwAr In 48 hours, your data will be publicly disclosed and deleted. (more information: go to 
http://iplis.ru/data02)
After payment send mail to us: rambler+2dnf8@onionmail.org and we will provide a link for you to download your data. Your DBCODE is: 2DNF8

 

 

모든 데이터는 백업되어 있으니 복구하고 싶으면 비트코인을 달라는 내용이었다.

다행히 개발서버였어서 데이터가 날아가도 아무 문제가 없었지만, 실제 운영중에 이런 상황이 닥쳤다면 매우 곤란했을 것이다.

 

var\log\mysql\error.log 를 확인해보았다.

2024-04-02T05:59:15.238696Z 1416 [Warning] [MY-010055] [Server] IP address '71.6.232.23' could not be resolved: Name or service not known 2024-04-02T06:11:08.334081Z 1417 [Warning] [MY-010055] [Server] IP address '94.156.71.202' could not be resolved: Name or service not known 2024-04-02T06:12:47.021943Z 1453 [System] [MY-013172] [Server] Received SHUTDOWN from user root. Shutting down mysqld (Version: 8.0.36-0ubuntu0.22.04.1). 2024-04-02T06:12:48.197428Z 0 [System] [MY-010910] [Server] /usr/sbin/mysqld: Shutdown complete (mysqld 8.0.36-0ubuntu0.22.04.1) (Ubuntu).

 

무언가 수상한 아이피들이 찍혀있었고, root에 의해 mysqld가 SHUTDOWN된 것을 확인할 수 있었다.

구글에 아이피를 검색해보니 블랙리스트에 올라가 있는 것을 확인할 수 있었다. 

 

 mysqlbinlog /var/lib/mysql/binlog.0* > binlog.sql 명령어를 통해 mysql 기록을 복구할 수 있었는데, 자세한 내용은 여기를 참고하면 된다. 나는 테스트서버였어서 복구는 필요없어 진행하지 않았다.

 

생성된 binlog.sql 파일을 보자.

이런식으로 해킹문자 테이블을 만들고, 나머지 데이터들을 모두 DROP하여 날린 것을 확인할 수 있었다.

 

의아한 것은, root 비밀번호도 복잡하게 설정해두었는데 어떻게 해킹을 한것인가다.

외부 플러그인과 연결하는 과정에서 샌것인지.... 좀 더 조사를 해봐야 할 것 같다.

물론 기본포트 쓰고 외부접속허용한건 잘못이긴 하지만..