해킹을 막을 방법을 가르쳐주십시오. 정보
해킹을 막을 방법을 가르쳐주십시오.본문
포인트가 적어서 질문답변게시판에 올리지 못하고 이곳에 질문을 드려서 죄송합니다.
//////////////
제 사이트는 http://www.nihon.co.kr입니다.
이곳에서 많은 신세를 지고 잇지만 올해 들어 부쩍 신세짐니다. 도와주십시오.
2010년 1월(?)부터 계속되는 nihon.co.kr 서버의 트러블로 괴롭습니다.
영어를 못해 google사에서 온 편지 내용이 무엇인지 잘모르겠지만, 누군가 제 서버를 해킹해서 못된짓을 하고 있는 모양입니다.(htt://www.nihon.co.kr/accounts, 현재 삭제한 상태입니다. 하지만 하루정도 지나면 또 만들어져 있습니다./var/www/html/accounts)
어떻게 해야할지 그누보드의 어느 부분을 수정해야하는지 알수 있을까요?
드릴 수 있는 포인트가 바닥난 상태라 죄송합니다.
아래는 구글사의 편지와 맨아래 kt직원의 편지입니다.
////////////////////////////////////////////////
구글편지
If your site was compromised, it's important to not only remove the content involved in the phishing attack, but to also identify and fix the vulnerability that enabled such content to be placed on your site. We suggest contacting your hosting provider if you are unsure of how to proceed.
Once you've secured your site, and removed the content involved in the suspected phishing attack, or if you believe we have made an error and this is not actually a phishing attack, you can request that the warning be removed by visiting
http://www.google.com/safebrowsing/report_error/?tpl=emailer
and reporting an "incorrect forgery alert." We will review this request and take the appropriate actions.
Sincerely,
Google Search Quality Team
///////////////////////
안녕하십니까
KT 스팸 대응센터(*** 개인정보보호를 위한 전화번호 노출방지 ***)입니다.
아래 귀사의 IP주소를 사용하는 시스템이 피싱 경유지로 운영되고 있다는 신고가 접수되었습니다.
인터넷 이용자들의 금융정보 유출 등 금융사기 피해를 최소화 할 수 있도록 신속한 대응조치를 취해 주시기 바랍니다. 먼저 아래 위장사이트를 즉시 삭제하여 주시고, 해킹피해 원인파악, 보안패치, 웹 방화벽 적용 등 아래 참고사이트 자료를 활용하셔서 재발방지대책을 실시하여 주시기 바랍니다. 구 버전의 제로보드, 테크노트, 그누보드, KorWeblog, phpBB등을 사용하고 있는 웹서버의 경우에는 해당 패치를 업데이트 하시기 바랍니다
※ 피싱 경유지: 해킹을 당해 유명기관 홈페이지를 사칭한 피싱 사이트 개설에 이용된 시스템
<<< 관련 내용 >>>
사고 IP : 119.200.60.141
사칭기관 : 구글
URL 주소 : http://119.200.60.141/accounts//
**** 처리 후 회신 부탁드립니다 *****
피싱"은 사기꾼의 웹 사이트로 유도하거나 회신 이메일을 보내도록 유도하여 신용 카드나 직불 카드 번호, 수표 계좌 정보, 주민 등록 번호 또는 온라인 계좌 암호와 같은 개인 정보를 노출하도록 소비자에게 사기 행위를 하는 이메일 사기입니다.
※ 무료 방화벽 사용을 권장.
o 윈도우즈 IIS 방화벽
- http://www.aqtronix.com/ (webnight 홈페이지)http://www.krcert.or.kr/unimDocsDownload.do?fileName1=060210_TR2006003.pdf&docNo=TR2006003&docKind=2
(KISA - Webnight 매뉴얼)
- http://www.krcert.or.kr/docDown.jsp?dn=9 (KISA - WebKnight 설치 및 운영 FAQ)
o 리눅스 Apache 방화벽
- http://www.modsecurity.org/ (modsecurity 홈페이지)http://www.krcert.or.kr/unimDocsDownload.do?fileName1=060314_TR2006004.pdf&docNo=TR2006004&docKind=2
(KISA - modsecurity 매뉴얼)
※ 참고사이트
o 침해사고 분석 절차 가이드 : http://www.kisa.or.kr/trace_log/data/200801_websecureguide/Incident_guide.pdf
o 악성코드 삽입사고 분석 절차 요약 가이드 : http://webcheck.krcert.or.kr/faq/mcir-guide.pdf
o 웹쉘 탐지 프로그램(Whistl) 보급 안내 : http://www.krcert.or.kr/noticeView.do?num=298
0
댓글 7개
일단 프로그램들을 최신 보안패치를 해주시구요
서버 관리자 비밀번호 변경및 로그를 분석해서 어떤경로로 침투를 했는지 분석이
필요할것 같습니다.
위의 글처럼 리눅스 아파치 방화벽을 설치를 하시는것도 도움이 될거구요
아무래도 가장중요한건 로그를 분석해서 원인을 원천차단하는것이 가장중요합니다.
뽀뺑이님 감사합니다. 능력이 안되겠지만 방화벽을 깔아 보겠습니다.
닥터귀염님 저희 집에 서버를 두고 사용하고 있습니다.
1. 커널을 최신으로 ( root kit - root를 훔치는 프로그램 동작 못하게 )
2. 웹방화벽
3. 서버의 메일 관련 시스템 중단 (구글 app 등으로 바꾸세요)
4. clamav 같은 바이러스 프로그램 설치
전 그것 때문에 패스워드를 바꿔도 계속 공격 당해서 계정을 새로 만들고 옮기니 해결 되었습니다.
