An application on remote computer has requested access to the X server / RDP 공격

개인 데스크탑에 mobaxterm 을 설치하고, 잠깐 자리를 비우고 온 사이에

An application on remote computer has requested access to the X server

 

해당 메시지가 팝업되면서, 모르는 IP에서 연결을 시도를 하는 상황이 발생했었다.

 

 

이게 무슨상황인가 싶었는데.. 모르는 곳에서 접속시도? 해킹인가 싶다..

 

찾아보니까, RDP 공격에 내 pc가 target이 된 것 같았다.

 

 

 

 

remote desktop이란 기능을 사용하는 경우에, RDP가 열리고, 해당 포트로 무차별 대입 공격을 하는 경우...에 해당되는 것 같았다.

 

근데 난 remote desktop을 사용하지도 않았고, 심지어 비활성화 되어있었다.

 

 

그러나, 작업관리자에서 프로세스를 확인해보니, remote desktop 프로세스가 실행되고 있었고, 왜 실행되는지 찾아봤다.

 

 

 

 

기본적으로 wsl2 기준, wsl 명령어를 이용하여 wsl를 활성화 시키면, remote desktop 프로세스가 켜지는 것을 확인할 수 있었다.

 

또한, docker desktop의 경우에도 같은 증상을 확인하였다.

 

 

왜...? 인가 했는데 찾아보니까, wslg라는 녀석이 범인이었고, wsl --version으로 확인해보니 설치되어 있었다.

 

 

이게 wsl을 설치하면서 자동으로 설치된 것인지, 아니면 다른 프로그램을 설치하면서 같이 설치된 것인지는 모르겠지만, 우선 RDP 공격의 원인인 remote desktop을 비활성화 하기로 하였다.

 

 

 

 

remote desktop 프로세스가 실행되지 않게 하려면 다음과 같이 진행 해주면 된다.

 

윈도우키 + R  ->  %userprofile% 입력 -> 해당 경로에 다음과 같은 파일을 생성한다.

 

파일명 : .wslconfig

 

[wsl2]
guiApplications=false

 

 

해당 설정 후에 wsl 실행을 하거나, docker desktop 실행에도 remote desktop 프로세스가 실행되지 않는 것을 확인할 수 있었다.