랜섬웨어 공격조언 바랍니다.
본문
-rw-rw-r-- 1 xxx xxx 3747 4월 21 11:50 4NX2tdenBs.8f84
-rw-rw-r-- 1 xxx xxx 8330 4월 21 11:50 I3kJgkILrw.8f84
-rw-rw-r-- 1 xxx xxx 19656 4월 21 11:50 KIkzLSjlNT.8f84
-rw-rw-r-- 1 xxx xxx 5437 4월 21 11:50 Vk5rg-uC0i.8f84
-rw-rw-r-- 1 xxx xxx 12104 4월 21 11:50 WPtcnL9Ity.8f84
-rw-rw-r-- 1 xxx xxx 1378 4월 21 11:50 _READ_THI$_FILE_6ULDPFZ_.txt
-rw-rw-r-- 1 xxx xxx 77091 4월 21 11:50 _READ_THI$_FILE_Q3V2L_.hta
-rw-rw-r-- 1 xxx xxx 94073 4월 21 11:50 aqnSSVxhEY.8f84
그누보드 5.0 이용중입니다.
당일 우연히 발견한것입니다.
위에서 보는봐와 같이 /js 폴더 하단에 보니 이런 파일들이 추가되어 있네요.
TXT 파일과 확장자 타입을 보니 요즘 보안 이슈인 랜섬웨어인듯 합니다.
다행이 다른 파일들은 감염이나 이상은 없습니다.
2달전에 이런파일이 생성된듯 한데...
그누보드 취약점을 타고 이런파일이 생성.업로드 될수 도 있는지요. ㅡㅡ?
참고로 파일 소유권은 apache가 아니라 정상적은 usr_xxx 소유권이었습니다.
ftp 데몬은 돌리지 않고, sftp 로 접근해서 특정 공간에서만 서버 소스에 접근 가능하게 해서 운영중입니다.
서버 에서 운영중인 데몬이나 운영체제 자체의 취약점을 뚤고 들어올수도 있고해서
다각도로 고민하고 있는데
역시 포맷이 답인가요??
조언들 바랍니다.
참고로 환경은
CENOS7 기반 > NGINX1.2 + MARIA10 + PHP7.0 (PHP-FPM)
입니다.
답변 2
저의 경우 일이년 전쯤 통큰아x 서버 Centos5.3 이용할때 중국ip에서 저런 모양의 파일들이 다량 생성된 적이 있었습니다.
저의 경우 랜섬웨어는 아니었고 사이트 우회시키는 뭐 그런거였습니다.
저도 원인은 모르지만 그누보드 문제는 아니었고(그누보드가 아니었음) 리눅스의 취약부분이 있는지ㅡ.,ㅡ
파일들을 보니 저의 경우와 비슷하게 보여지는군요....
해당 파일들 모조리 삭제하고 중국대역ip 전부 차단하고 ..
결국은 서버 및 ip 이전하게 되는 순서를 밟게 되더군요...
참고로 저의 경우도
숫자 파일명
txt 파일명
hta 파일명
위 세가지 파일들이었습니다.
홈페이지가 하나의 예술로 보여지는군요~즐겨찾기 추가~^^
지금 알아보니 ~
CERBER6 케르베르6
아~~말만 들어도 무섭군요~~
