보안과 포털 history

2020.06
– 서비스 최초 오픈. 교내 보유 QNAP 서버에서 지원하는 워드프레스 앱으로 시작
– 당시는 코로나-19 가 창궐하는 바람에 죄다 원격 수업으로 진행하던 시기였고 심지어 개학도 밀렸음.
– 덕분에 유휴 장비 활용해서 포털 구축 시도 및 오픈 성공
– 초기 버전 구성 및 디자인 by jm.lee

2023.05
– 이때까지 여러 게시판 및 서비스 운용하며 QNAP 파일 서버와 병행 운용
– 다양한 시도를 했지만 최종적으로 공지사항, 자유게시판, 인스타 갤러리, 취업/진학 자료, 보안 뉴스
위주로 운영
– 그동안 MKS 는 학과 인스타 및 학과 포털 공지를 통해 학과 내 커뮤니케이션을 전담으로 활약함
– 그러다 시스템 관리자인 originalchoi 가 인스타 플러그인 업데이트를 하다가 최신 버전 미호환으로
사이트가 먹통이 되는 상황이 발생
– 결국 힘들게 수작업으로 플러그인 제거해가며 복구 성공
originalchoi 는 이 때 위기감을 느끼고 워드프레스 DB와 content 파일 백업을 받아두는데 이게 머지 않아 큰 역할을 한다.

2023.08
– 23년 2학기부터 교내망 전용으로 운영되던 포털 서비스를 인터넷에 오픈함.
– 목적은 학과 해킹보안동아리(SCA) 의 취약점 점검 연습 및 보다 원할한 서비스 이용
– 사실 인터넷에 오픈한 순간부터 bruteforce 및 dictionary 공격은 자주 들어왔다.
– 하지만 적당 수준 내에서 모니터링하고 접근 대역 차단하는 정도의 관리 작업은 정기적으로 해왔음.
– 그러다 결국 사달이 나는데..

2023.09
☆ 외부에서 교내 보안과 포털에 침입 성공함.

– 워드프레스를 뚫을 수 있으면 뚫어봐라. 그 정도면 정말 대단하다라고 인정한다.
라는 마인드로 서비스 오픈했지만
실제로 뚫린건 워드프레스와 함께 설치된 phpMyAdmin 의 디폴트 계정정보 였음.
– 침입자는 DB 를 export 시킨 후 기존 DB 를 모두 삭제.
– 0.3 비트 코인을 전송하면 DB 복구용 파일을 전달해주겠다는 메세지만 남겨놓음.
당시 비트코인 시세 1 코인 5~6천만원 => 0.3 코인 지불의사 당연히 없음(어차피 못 믿음)
– 별 대단한 자료도 없는 고등학생들 전용 포털 사이트인데 이걸 털어가서 뭐하려고?!
참 희한하고 쓸데없이 부지런한 놈들이다.. 라며
노이해 & 안일한 대처를 유지하던 originalchoi 에게 경종을 울림.


★ 3년 반 동안 쌓아온 학과 자료들이 다 사라지나..
싶은 순간이었지만 2023.05 백업본으로 복구 성공


2023.11
– 위 사건으로 경각심을 가지고 인터넷 차단, 다시 인트라넷 모드로 운영 전환
– 그런데 이번엔 하드웨어 장애가 터지는데…

– 서버 고장(메인보드 고장으로 추정)으로 부팅 불가 상태가 됨
전용IDC 도 아닌 실습실 귀퉁이 테스트 랙에 운용 중이던 QNAP 서버는 그렇게 생을 마감했다.

– 문제는 하드디스크만 빼서 데이터를 이관하려 해도 호환성 때문에 새로운 QNAP 서버가 필요하다는 점.
(역시 편한 것은 나름의 대가를 지불해야 한다.)
– 당연히 새 장비는 구매할 여력이 안됨.

2023.12.초
★ 기존 QNAP 전용 환경에서 AWS 클라우드 환경으로 리뉴얼 오픈

– 이번에도 역시 2023.05 백업본을 가지고 복구 시도 및 성공
(완전한 백업본이 아닌데 구동 환경도 바뀌어서 힘들었다)
– 학과 도메인(smc-secu.net) 연동, SSL 적용, 서비스 재편(캘린더 / 동아리 강화)

2023.12.11
☆ 교내 해킹보안동아리(SCA) 소속 heegong123, hw0o 이 신규 포털에 대한 취약점 제보

– 공통적으로 디렉토리 인덱싱 허용으로 인한 디렉토리 구조 및 파일 접근 가능에 관한 내용
– 자유게시판 비밀글 첨부 파일 마저도 접근 가능한 기초적이고 치명적인 취약점
★ 디렉토리 리스팅 차단함

☆ heegong123 의 제보(2)
– 워드프레스 restAPI 를 활용한 user, post, media 취약점 제보
★ 관리자 외 restAPI 허용하지 않도록 조치함

2023.12.12
☆ hw0o 의 제보(2)

– 게시판 댓글 및 페이지 댓글에서 XSS 취약점이 존재
– 댓글 등에 악의적인 스크립트를 삽입함으로서 사용자가 해당 페이지를 열 때 관리자 쿠키 등 전송 가능
★ 본 페이지 및 게시판에 댓글 비허용으로 1차 조치함
★ 워드프레스 KBoard 및 KBoard Comment CVE 분석 지원을 위해 게시판 댓글 허용으로 전환
(2023.12.12 10:43 ~ 15:05)
★ 모든 페이지, 모든 포스팅, 모든 게시판에 댓글 비허용으로 2차 조치

2023.12.15
☆ hw0o 의 제보(3)

– 중요 설정파일의 swp 버전을 확인
– 이를 통해서 DB 정보 확인 및 포털 관리자 PW 재설정 완료
– 백도어도 심어놓았다고 하는데…
☆ 포털 계정 탈취 성공 ☆

문제가 된 주요 설정파일의 swp 버전 및 기타 파일들 삭제 및 정리
DB 패스워드 변경 및 phpMyAdmin 제거
모든 파일에 대해서 백도어 가능한 코드 점검 및 삭제 조치함
포털 메인 문구 원상 복귀 및 기존에 방치한 침입시도용 댓글 모두 삭제

2024.01.07
★ 관리자 외 일반 사용자도 RestAPI 사용하는 인스타그램, 사이드바 Archive 기능 활용할 수 있게 조치함

2024.03.14
– 동아리 계정으로 글 작성이 안되는 기능 결함(RestAPI 관련)을 해결함

세명컴고 보안과 포털은 
재학생, 졸업생 여러분들의 침입 시도 및 취약점 점검을 환영합니다.
여러분의 다양한 시도가 더 좋은 품질의 서비스를 만듭니다.
제보만 잘해주세요.





Comments are closed.