이런 미친파일이 다 있네요? 어떻게 대처를 해야할지 조언좀 부탁드립니다. 정보
이런 미친파일이 다 있네요? 어떻게 대처를 해야할지 조언좀 부탁드립니다.
본문
얼마전부터 단독으로 사용중이던 카페24 서버에 이상한 파일들이 올라오기 시작하고 웹페이지를 죽여버리거나 알수 없는 코드로 변환되는 현상이 발생하여 계정 아이디와 비번도 바꾸고 불피요한 파일들을 전부 삭제하였는데 오늘 또 페이지가 안열려서 같은 서버에 있는 25개 계정을 모두 점검하다가 위와 같은 파일을 찾았습니다.
제가 서버를 잘몰라 보안 설정을 잘 못한건지.. 어떻게 대처를 하면 좋을지 조언을 구하고자 올립니다.
이미지 보시면 아시겠지만 폴더의 권한이나 이름 변경, 삭제, 권한설정, 심지어 서버명령과 소스 수정도 다 가능합니다. 직접 업로드 해보고 수정해보니 기능이 거의 대부분 작동을 합니다.
이런 미친파일은 처음 봅니다. FTP에서도 지워지지 않게 권한을 서버에서 낮춰놓아도 이 파일로 접속하면 권한도 바꾸고 어느 계정폴더든 다 돌아다닐 수가 있습니다.
옆에 서버 정보로 나오는 것도 이렇게 php파일 하나로 하드 잔량까지 다 보여질 수 있는건가요?
25개의 계정 및 root 계정의 자료를 전부 백업하고 비번 및 폴더를 바꿔야 하는건가요? 그렇게 하면 저런거 안들어오게 막을 수 있는건가요?
어떻게 처리해야 하는지 서버 권한들은 어떻게 관리하시는지, 사용량의 거의 200기가라 백업도 쉽지 않습니다.
고수님들의 의견좀 공유 부탁드립니다.
(위 이미지는 못보던 파일 wws.php 또는 rs.ph 등의 이름으로 되어있어서 웹에 접속해본 화면이고, 아래꺼는 index.php의 내용이 변경된 부분 소스입니다. 삭제하고 새로고침하면 자동으로 파일이 생깁니다.)
1
베스트댓글
랜섬웨어 안걸린것으로 감지덕지 해야되요
그리고 보호나라 여기 보안상담 > 침해사고 신고 : KISA 보호나라&KrCERT/CC (boho.or.kr) 보안 상담 받아보세요 점검 해드릴거에요
서비스 신청하기 > 정보보호 서비스 : KISA 보호나라&KrCERT/CC (boho.or.kr)
(* 제일 먼저 보호나라쪽 문의해서 점검 받아보세요)
이거는 경험을 토대로 남긴거니 참고만 하세요.
1. ssh 계정을 강화하세요 루트 비번을 바꾸시고 대도록이면 쓰지말고 서브 계정을 만들어서 사용하세요.
2. data 폴더 권한을 강화하세요 전부다 707로하면 안됩니다.
3. 어드민 계정 비번도 주기적으로 변경하세요. 너무 쉽게 하면 안되고 특수문자 포함 변경하세요
4. 그누보드 보안패치 꼭 하세요 그누4면 잘 털리고 그누 5.4도 간당간당해요
5.5.x 최신화로 바꾸세요
전형적인 웹쉘 공격이네요.
댓글 15개
랜섬웨어 안걸린것으로 감지덕지 해야되요
그리고 보호나라 여기 보안상담 > 침해사고 신고 : KISA 보호나라&KrCERT/CC (boho.or.kr) 보안 상담 받아보세요 점검 해드릴거에요
서비스 신청하기 > 정보보호 서비스 : KISA 보호나라&KrCERT/CC (boho.or.kr)
(* 제일 먼저 보호나라쪽 문의해서 점검 받아보세요)
이거는 경험을 토대로 남긴거니 참고만 하세요.
1. ssh 계정을 강화하세요 루트 비번을 바꾸시고 대도록이면 쓰지말고 서브 계정을 만들어서 사용하세요.
2. data 폴더 권한을 강화하세요 전부다 707로하면 안됩니다.
3. 어드민 계정 비번도 주기적으로 변경하세요. 너무 쉽게 하면 안되고 특수문자 포함 변경하세요
4. 그누보드 보안패치 꼭 하세요 그누4면 잘 털리고 그누 5.4도 간당간당해요
5.5.x 최신화로 바꾸세요
말씀드린것 처럼 data폴더를 제외한 모든 폴더와 파일 권한을 낮춰놓아도 조금 지나면 전부 707로 바뀌어 있습니다.
저런 해킹이 그누보드와 관련이 있는건가요?
늦은 시간 답변 감사합니다.
@몽롱이 네~ 자동으로 바뀌면 안되요 해킹 의심 되고 악성코드 심어 넣은거 일수도 있고 꼭 보호나라쪽으로 문의 해보세요 무료에요
저는 부끄러운 말이지만 아직도 파일권한 수정이 헷갈립니다.
data만 707로 수정하고,
다른 모든 폴더는 그냥 원래대로 하는 거죠?
전형적인 웹쉘 공격이네요.
아마 SSH를 통해 서버 루트가 뚫린 것 같습니다.
SSH는 특정 IP만 접속할 수 있도록 하는 것이 가장 좋습니다.
간단한 리눅스 설정으로 조치할 수 있습니다.
접속하는 컴터가 유동 IP이거나 다른 컴터에서도 접속해야 하는 그런 상황이라면 적당한 VPN 서비스를 쓰는 것도 방법이 될 수 있습니다. 요즘 대부분의 VPN 서비스는 2차 인증을 지원하기 때문에 보안을 높일 수 있습니다.
해커가 rc.local 폴더 같은 깊숙한 곳에 악의적으로 뭘 숨겨놓으면 찾기가 쉽지 않습니다. 데이터를 온전하게 백업하실 수 있다면, 서버 한 번 재설치 하시는 게 좋을 것 같습니다.
취약점 악용한 웹 쉘 가능성이 더 높아 보이네요. 리오닥터님 말씀처럼 먼저 진행해 보시길 추천드립니다.
대부분 랜섬으로 이어질 가능성이 있어서 매우 위험한거 같습니다.
안녕하세요,
부산곰돌이님 말씀처럼 웹쉘 가능성이 높아 보입니다. 침입경로를 정확히 알 순 없지만 게시판 등의 첨부파일일 가능성이 있습니다. 제가 경험한 비슷한 예로는 1) 첨부파일로 웹쉘을 업로드 2) 웹쉘을 실행 3) 웹쉘이 실행되며 폴더 쓰기 권한이 있는 폴더에 실행파일 (php 등)을 설치 등으로 이어졌습니다. 그런데 침투경로를 알기 어려운게 파일 업로드를 한 후 한달 정도 후에 침입자가 코드를 실행시키다 보니 서버내 로그 파일로는 침투 시점의 자료가 서버 용량 관리상 지워지고 난 후였습니다.
어쨋든 파일 지우고, 해당 파일이 업로드 되어 있는 폴더 권한을 바꿨더니 그 폴더에는 더 이상 생기지 않았습니다.
다만 원인을 해결을 해야 하니 파일 업로드가 쉬운 쪽을 점검해 보셔도 좋을 것 같습니다. 비회원도 업로드 할 수 있거나, 회원가입만 하고 바로 파일 업로드 할 수 있는 1:1 문의 와 같은 곳이요.
무서운 일입니다.ㄷㄷㄷ
서버 OS업데이트도 하시길 바랍니다. 이젠 현업 안하고 취미로 하고 있습니다만 부디 OS보안은 기본으로 해두시길 당부드립니다.
무섭네요
선배님들? 카페24호스팅 사용중인데 위험한지요?
전형적인 웹쉘 공격으로 판단되네요.
서버 재설치가 어쩌면 답이 될 지도 모르겠네요...
어쨌든 제 경험을 나눠봅니다.
1. 파일 업로드 디렉토리에 php등의 실행권한 제거
2. 변경이 되면 안되는 파일에 chattr 명령어로 변경 못하게 설정
3. 업로드 파일들을 별도의 서버로 이전 후 부하가 걸리지 않는 선에서, crontab으로 스캐닝 프로그램 제작 후 파일 스캐닝 : 파일의 내용 중, string에 리눅스 명령어와 SQL명령어가 들어있는 파일 목록 체크 후 보고서 관리자 메일로 발송
4. 카페24에서 같은 서버 내에 다른 계정을 사용중인 사용자가 없는지 확인
5. KISA 보호나라 도움받기
6. OS 업데이트
7. 특정 IP와 특정 포트만 SSH 접속 가능하도록 설정
8. root는 SSH 접속 차단, 다른 특정 계정으로 접속해서 root접근 허용 가능하도록 설정
9. crontab을 이용, 주기적으로 관리자에게 일일보고서 메일 발송 :
- 오늘 올라온 파일 목록, 최근 접속자 정보, 파일 수정 내역, 프로세스 목록 등등
이게 참... 겪어보면 상당히 고통스러운 상황입니다...
아무튼 잘 해결되시길 바랍니다!
모두 답변주셔서 감사합니다.
카페24의 서버가 위험한게 아니라 단독(퀵) 서버를 사용하면 직접 관리를 해줘야 하기 때문에 저처럼 어설픈 지식으로 운영하게 되면 보안부분에 어려움이 발생할 수 있고 직접 처리를 해야할게 많은 것 같습니다.
의견 주신대로 보호나라와 연락하여 도움받을 수 있는지 소통하고 있습니다.
감사합니다.
