마인크래프트 서버 java.net.NoRouteToHostException 호스트로 갈 루트가 없음 : 맬웨어 감염

필자는 Google Cloud Platform의 Compute Engine으로 친구와 플레이할 마인크래프트 서버를 운영 중에 있다.

OS는 Ubuntu 20.04 이며 OpenJDK 17을 설치해 마인크래프트 1.19.2 서버를 구동 중이다.

 

참고로 BungeeCord(번지코드) 서버 + Spigot 로그인 서버 + Spigot 메인 서버 구성이다.

 

비용 절약으로 서버를 며칠 꺼두었는데, 어제 친구가 서버를 열어달라고 해서 바로 인스턴스를 시작하고 늘 그래왔듯 BungeeCord 서버를 먼저 시작하였다.

그런데 java.net.NoRouteToHostException: 호스트로 갈 루트가 없음 오류를 내뿜으며 시작조차 안 되고 있는 것이었다.

실제 오류 사진

근데 "at Updater.init"이 눈에 띄어서 아, 번지코드 업데이터가 문제가 생겼나? 라는 생각에 새 번지코드 빌드를 https://ci.md-5.net/job/BungeeCord/ 공식 Jenkins에서 받았다.

그랬더니 서버가 실행은 되지만 여전히 오류를 뿜고 있는 것이었다.

 

그런데 이번에는 특정 플러그인에서 동일한 오류를 뿜고 있길래, 해당 플러그인을 잠시 제거하였다.

그랬더니 또 다른 플러그인이 동일한 오류를 뿜고 있어서 또 잠시 제거하였다.

 

더이상 오류는 안 보이고 서버가 정상인듯 보였다.

 

다음으로 Spigot 로그인 서버를 구동하였는데, 또 똑같은 NoRouteToHostException 오류가 보이는 것이었다.

이상하다..? 라고 느낀 필자는 그냥 업데이터 서버가 다 터졌나라는 생각을 하는 한편, 구글링을 해봐야겠다는 생각을 이제서야 하게 된다.

 

그러던 중 발견한 1시간 전 업로드된 영상.

필자는 보통 최근에 올라온 영상이면 어그로성 영상은 아닌가 의심을 하는데, 제목에 Malware 라는 단어가 유독 눈에 띄었고 일단 속는 셈 치고 들어갔다.

 

https://www.youtube.com/watch?v=isHG7x_KDM4 

어라 ㅋㅋ? 필자와 똑같은 오류를 겪고 있었다.

 

이제서야 필자는 맬웨어라는 것을 인지하였다.

심지어 1개월 전에 PaperMC에서 공지를 내렸다..

 

https://forums.papermc.io/threads/malware-announcement.529/

Announcement - Malware Announcement

 

grep -R "plugin-config.bin" .

감염되었는지 확인하려면 해당 명령을 입력해보라고 해서 입력했더니,

감염되었다~

결과는 예상했듯 이미 감염되었다 ㅋㅋㅋㅋ

 

 

그런데 문제는 이게 마인크래프트 서버 폴더만 감염하는 것이 아니고 Java 자체를 감염시킨다.

 

대충 알아본 결과

 

hxxp://files[.]skyrage[.]de/mvd 에 접근해 파일을 받는다.

그리고 javaw.exe 자체를 건드리는 것으로 보인다.

이후 javaw.exe로 실행되는 모든 JAR 파일을 감염시킨다는 것이다.

 

여기에는 마인크래프트 플러그인뿐만 아니라, 만약 본인이 자바 코딩을 하고 있는 개발자라면 프로젝트 파일 안에 들어있는 JAR 파일까지도 감염시킨다는 것이다.

심지어 시스템 서비스까지 설치한다고 한다.

 

 

해결 방법

https://github.com/OpticFusion1/MCAntiMalware

GitHub - OpticFusion1/MCAntiMalware: Anti-Malware for minecraft

필수는 아니지만 대충이라도 어떤 파일이 감염되었는지 확인해보고 싶다면 MCAntiMalware를 다운로드 후 실행해본다.

 

 

가장 좋은 방법은 운영 체제 재설치이다.

 

하지만 운영 체제 재설치가 힘들다면 Java는 무조건 완전히 제거하고 다시 설치해야 한다.

시스템 서비스까지 설치하므로 해당 서비스 또한 제거해야한다.

 

또한 서버 JAR, 플러그인 JAR 등 모든 JAR 파일은 싹 다 제거하고 새로 받아야 한다.