윈도우 해킹관련 질문드립니다.
본문
안녕하세요 그누보드로 홈페이지 제작을 하고있는데요오토셋을 이용하여 로컬환경에서 기본작업후 파일질라 클라이언트로 파일업로드하여 작업을 합니다.
오늘 아침에 일어난 일인데 컴퓨터를 제가 끄고잤는지 안끄고잤는지 기억이안나요ㅠ 오전 10시쯤 컴퓨터에 딱앉아서 처음 윈도우 보안화면 로그인후 작업하려고 하는데 뭔가 찜찜하더라구요 로그인을 할때 못보던 윈도우 계정이 하나더 생성되있었던거 같습니다.(생성된 계정명 xiaouhei) 그때까지만 해도 대수롭지 않게 작업하려고 하는순간 윈도우 rdp원격접속을 xiaouhei라는 계정이 시도를 하는겁니다. 윈도우 자체에서 발생되는 메세지 ui였습니다.
바로 취소를 눌렀는데 계속해서 메세지가 발송되더군요 순간 예를 누를뻔하다가 그냥냅둬봤는데 갑자기 제화면이 다운되더군요 강제부팅 하려다가 5~10초쯤뒤에 다시 돌아오더군요 그이후 다시 원격접속 메세지는 발생되지 않았고 바로 원격접속 설정을 사용안함으로 하였습니다. 그이후 문제는 없었고 백신으로 검사하였을때 rdp 관련된걸 2개정도 잡고 앱체크 랜섬체크에서 레지스트 관련된거 몇개를 잡은거 빼고는 특이사항은 없었습니다. 지금은 보안관련된걸 재정비하였고 포멧하기가 좀그래서 그냥써도 괜찮은건지 모르겠네요 xiaouhei가 원격접속 시도당시 윈도우디펜더가 내려가있었던것 같습니다.(제가 내린건 아니구요)
랜섬은 안걸렸지만 나름 정리해놓은 정보같은게 빠져나갔을까봐 굉장히 찝찝하네요.. 제 자료가 있는 pc화면까지 접속이 된건지가 궁금한데 알길이 없네요 이벤트뷰어에서 xiaouhei에 관한 내용이 나와있지만 이정보로는 도저히 뭔지 모르겠네요 접속을 했다면 랜섬을 터뜨렸을거 같은데 의문이네요.. 더궁금한건 오토셋은 로컬서버로만 작업을 하고 파일질라는 클라이언트용으로 작업을 하는데 어떤경로로 들어왔는지가 의문이네요 인터넷이라던가 파일다운 같은경우는 저도 신경을 많이써서 이부분일 경우는 희박하고 오토셋과 파일질라가 의심이 되는데요.. 제가 궁금하고 의문이 되는점에 대해서 알고계신 최대한의 정보를 남겨주시면 정말정말 감사합니다.
그누보드 질답에 이런글을 남겨도 괜찮을지 모르겠네요 문제가된다면 바로 지우겠습니다.
답변 2
우선 의심스러운 상황이라면 웬만한 자료는 백업하고, 윈도우는 다시 설치를 하시는 것이 좋을 것 같습니다.
1. 파일질라는 클라이언트만 설치 되어 있다고 하면 의심할 만한 것은 없을 것 같고.
2. 오토셋은 지금 체크해 보니 2018년이네요. 아무래도 1-2년 지나면 그 제품에 대한 구멍을 찾아서 해킹 가능성이 있을 것 같습니다.
오토셋 보다는 라라곤 또는 도커같은 솔루션으로 변경해서 사용하세요