반응형
블로그의 자료 공유용이나 내부 자료 저장용으로 시놀로지 DS918+를 사용하고 있습니다.
오늘 새벽부터 이메일 알림을 통해 IP 차단 알림이 지속적으로 발송되더군요.
아침에 시놀로지 로그를 확인해보니 새벽부터 오전까지 약 200차례의 무작위 대입 접속 시도가 진행 중이었습니다.
IP 국적은 미국/프랑스/중국/싱가포르/한국, 접속 유저는 root/qc/testuser/mysql/user0 등 아주 다양합니다.
IP 몇 개들을 쇼단에 입력하니 큐냅이나 DCS와 같은 다른 서버 장비들로 연결되더군요.
보안이 취약한 NAS나 서버에 감염된 후 지속적으로 감염시킬 서버들을 찾아다니는 것 같았습니다.
확인 즉시 방화벽을 통해 포트를 임시 비활성화하고 한국 외 모든 국가의 접속을 차단했습니다.
차단을 진행하니 간간히 찍히는 한국 IP 차단 외에는 많이 조용해졌는데요 추가적으로 포트 변경 작업과 함께 IP변경을 진행해야겠습니다.
반응형