All Posts

  • Published on
    해커와의 전쟁 몇일째 채굴 공격을 막느라 정신이 없었다. 이번을 개기로 서버보안에 좀더 신경을 쓰게 된 개기가 된것 같다. 아무튼 내 블로그 곳곳엔 여전히 헛점이 있다. 11년전 서버에 대한 지식이 전무한 상태에서 워드프레스를 설치한게 화근이지싶다. 그땐 이거저거 해보겠다고 퍼미션도 777인 곳이 많았고 766도 많았다. 발단의 원인 일단 퍼미션이 엉망이었다는 것이 재앙인데 퍼미션이 엉망이기 때문에 해커들이 맘대로 내 서버에 파일도 올리고 실행도 시키고,..미안하다..ㅜㅜ 아무튼 해커와의 전쟁을 선포하고 워드프레스 폴더 곳곳을 find 명령으로 뒤져가며 php 파일명이 이상한 형태가 있는지 전부 찾아서 지웠다. 어떤 이상한 파일들이 있었는지는 지난 글을 참고하자. 여전히 풀리지 않는 리다이렉션 문제 이제 남은 건 페이스북에 링크된 글이 이상한 사이트로 넘어가는 문제만 남았다. 나도 몇번 겪어봤고 이상하다 싶었는데 그사이 신고도 3건이나 접수됐다. 그래서 제대로 잡아보자 싶어서 한번만
  • Published on
    홈페이지가 또 죽었다. 지난번 포스트에서 해결된줄 알았는데 이번에는 다른 문제였다. 그동안 무엇이 문제인지 갈피를 잡지 못했다가 이제야 찾았다!! 채굴 스크립트가 동작할때 nginx 권한으로 자꾸 실행 되길래 어떻게 이게 가능할까 싶었는데, nginx location 매칭의 취약점을 이용한 일반적인 공격이었다. 예를 들면 이런거다. /uploads/악성코드/아무거나.php 위치에 파일이 하나 업로드되고 이걸 실행하는 거다. 자세한 내용은 아래 링크를 참고 하자. https://phpschool.com/gnuboard4/bbs/board.php?bo_table=tipntech&wr_id=77007&page=#c_77013 사실 uploads 폴더에 php 파일이 어떻게 올라갔는지도 궁금하다. 설마 워드프레스는 POST 요청에 대한 권한 체크를 따로 하지 않는건가? 소스코드를 뜯어보면 알겠지만 귀찮다. -_-;; 올리는건 맘대로하고 일단 업로드 폴더에 올라간 php 파일 실행이나 제대로
  • Published on
    아침에 트렐로에서 메일이 하나 왔길래 늘 그렇듯 삭제 하려다가 "리모트 워크 가이드"라는 단어가 눈에 들어와서 읽어보게 됐다. PDF 원문은 여기서 보면 되겠다. 최근 제주에서 열렸던 리모트 워크 캠프 참석후에 정리된 생각이 한번더 정제되는 느낌의 글이다. 글도 글이지만 원문은 참 해석이 어렵기도하다. 따라서 내가 정리는 했지만 제대로 해석 했는지는 자신이 없다. 그냥 나는 이렇게 생각하고 이런 내용에 동의한다 정도로 이해하면 되겠다. 아래 정리된 글과 별개로 개인적으로 리모트 워크에 대한 생각이 있긴한데 이건 나중에 정리하는 걸로 하고,... 아무튼 개발자라는 직업이 리모트 워크와 참 잘 어울린다라는 생각을 다시금 해본다. 우리 회사에서 만들어가고 있는 개발 문화도 의도하진 않았지만 아래 내용과 많은 부분이 일맥 상통하고 있어서 신기하기도 하다. ㅋㅋㅋ 참고로 PDF에 정리된 회사들은 모두 글로벌 회사다보니 풀 리모트를 전제하고 있는것 같다. 리모트워크에 관련한 미신 5가지와 해결
  • Published on
    Let's Encrypt 는 3개월마다 인증서를 갱신해야한다. AWS Elastic Beanstalk로 배포된 앱은 인스턴스가 언제 재시작 될지 알수 없기 때문에 크론잡 주기가 틀어질수있고, 크론잡의 날짜를 고정하면 수동 갱신과 다름 없기 때문에 그냥 터미널에서 갱신하는 방법을 정리해봤다.
  • Published on
    몇일전부터 블로그가 자꾸 죽는 문제가 발생해서 프로세스 목록을 살펴보니 sendmail 프로세스 수십개가 떠 있었다. 혹시나 싶어서 로그를 열어보니... tail -f /var/log/maillog 뭐지? 이쎄한 느낌은,... 172...로 보내는건 내가 보내고 있는거잖아! -_-;... Oct 18 03:49:50 ip-172-31-5-227 sendmail[4724]: v9I3nobO004724: to=brownjerry359@yahoo.com, ctladdr=armaan.h@miconblog.com (498/498), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=32155, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1] Oct 18 03:49:50 ip-172-31-5-227 sendmail[4725]: v9I3noa