회사에서 업무를 보고 있는데, 갑자기 아웃룩 2007로 메일이 500통이나 왔다.

황당해서 내용을 살펴보니 /etc/passwd의 내용을 긁어가기 위한 코드들이 메일 제목이나 메일 아이디 등에 적혀 있었다.

html 코드들도 보이는 것을 보니 /etc/passwd의 내용을 html로 만들어 공격자에게 보내주는 것 같았다.

메일 서버를 관리를 하고 있어서 계정들의 쉘을 모두 false로 설정해 놓은 상태였고, 관리를 위한 내 계정과 root 계정만이 쉘을 사용할 수 있었다.

아마도 쉘을 사용할 수 있는 내 계정을 통해 공격을 하였다.

어떤 툴을 이용하는 것 같았는데, 웹서비스를 하고 있는 아파치의 80 포트로 접속하여 대량의 메일을 보내는 공격이었다.

1시간내에 2000통의 메일을 받으니 사양이 좋지 않은 메일 서버도 버벅이기 시작하였다.

결국에 설치되어 있는 보안 제품으로 해당 IP를 막는 설정을 하니 더이상의 메일은 오지 않았다.

공격에 사용된 IP를 whois로 검색을 해보니 서울 소재의 서버인듯 했는데, 관리를 잘안하는 서버인가보다.

공격의 경유지로 사용이나 당하고 말이다.

결국 3시간 뒤에 스팸메일이 한 통 왔는데, 메일의 폼으로 보아 공격할 때의 메일 폼과 같았다.

정말 스팸에 이용하려는 의도였는지, 아니면 또다른 악성코드를 심어 놓아 광고 속 홈페이지 접속 시 설치가 되게 하려는 의도인지는 잘 모르겠다.

나름 공격을 당했으니 신고하려고, 신고 사이트에 접속하여 해킹 사유를 적고 스팸 메일을 캡쳐하여 첨부를 한 후 전달버튼을 눌렀으나

bmp로 캡쳐하여 파일 용량이 크다는 이유로 응답없음 화면을 보여주는 황당함에 뒤로가기 버튼을 누르니 내용은 다 날아가고 없었다.

다시 쓰기 귀찮아서 취소해버리고, 더이상의 공격기미가 보이지 않아 스팸메일을 지우고 일단락 지었다.

이번 공격을 통해 정상적이지 않은 공격을 막는 방법은 많이 있으나, 이번 경우와 같이 웹서비스를 하는 80번 포트로 접속하여 어떤 취약성을 이용한

정상적인 루트로 공격을 하는 방법은 막을 수 있는 방법이 많지 않은 듯 하다.

서버는 애정어린(?) 지속적인 모니터링과 패치를 통해 관리를 해주어야 할 듯 하다.

이번 기회에 서버 업그레이드와 MTA로 sendmail 말고 qmail을 사용해봐야겠다.