[uCloud] outbound 트래픽 이상현상에 대처

토요일에 갑자기 uCloud에서 전화가 왔다.

(주말에도 고생하십니다 주륵..)

내 클라우드서버에 Outbound 트래픽이 비정상적이라는 연락.

uCloud는 기본적으로 하루 Outbound트래픽이 정해놓은 수치 이상이면 알람을 해주는 서비스가 있다.

기본세팅은 50GB로 알고 있다. (세팅을 한적이 없는데 50GB를 넘었다고 알림이 왔다)

해당 알람과는 무관하게 연락이 왔다.

VM이 감염되었을 확률이 높다고 점검이 가능하면 점검해보고 못고치면 새로운 VM으로 이전하라는 연락

uCloud에는 Disk를 저장할 수 있는 기능을 포함하고 있지만 다신 이런 일이 발생하지 않게 하기 위해 (악성코드가 포함되서 저장된다거나),

FTP를 이용, 중요파일만 백업하고 VM을 날려버렸다.

계속 트래픽이 올라가고 있는데 그 사이에 잘 알지도 못하는 공격, 감염에 대응하기는 무리였고, uCloud측 안내메일에는 한시간 내로 복구가 되지 않으면 VM을 차단할 수 밖에 없다는 상황이였다.

안내메일에는 저작권이 걸려있어서 첨부가 불가능

그리고 다음날인 일요일에 위와 같은 문자가 왔다.

단순한 알람서비스

토요일에 바로 전화로 알려주니 빠른 대응을 할 수 있어서 난감한 상황을 면했다

uCloud는 월 1TB의 Outbound기본데이터를 제공하고 있으며 초과시 과금이 이뤄지는데 uCloud 콘솔을 자주 접속하지 않을 뿐만 아니라 네트워크 트래픽 자체를 자주 보지않는 걸 고려하면 연락이 안왔으면 엄청난 손해를 봤을것이다.

감염경로는 아직도 의문이다.

외부에서 다운받은 파일은 단 하나이며, 오픈되있던건 ssh, ftp, svn, php 였다.

ftp도 read권한만 열어놨었고, uCloud측이 제공한 root 비밀번호는 변경되있었던 상태

ssh 접속로그를 보니 마지막 접속로그도 내가 접속한 로그였다.

외부에서 다운받은 파일은 php와 mysql connection pool 검색을 통해 찾은 sqlrelay 공식홈페이지에서 받은 모듈이였다. 이 모듈도 많은 이용자가 있는 걸로 알고 있으므로 제외,

svn 사용자들은 모두 프로그래머들이고 그대로 이전해서 쓰고 있는데 문제 없는 걸로 봐선 제외,

ftp를 통한 감염을 의심하고 있다.

위 작업으로 시간은 많이 버렸지만 나쁘지 않은 경험이라고 생각하고 있다.

서비스중에 발생하게 된다면 정말 난감할 거 같다.

다음부터 위와 같은 상황이 생길 경우엔 전체 이미지를 백업 해놓을 생각이다.

언젠가 나에게 공부용이 될수도, 다른분에게 도움이 될수도

혹시 첨부된 이미지에도 저작권이 걸려있는 내용이 있을 경우, 알려주신다면 바로 수정하도록 하겠습니다.

감사합니다.