서버 공격 받았어요
관련링크
본문
이런 질문은 어디에 올려야 하는지 몰라서 여기에 올립니다.
카페24에서 서버호스팅을 이용중입니다.
며칠 전부터 외부 공격이 있다는 연락을 받고
차단 조치를 하고 비번을 변경하고 여러가지를 했습니다.
(아래 내용 참조)
현재는 ssl만 포트를 열어놓아 텔넷만 접속이 되고 FTP나 웹은 접속이 되지 않고 있습니다.
조치를 취하고 해제하라는데
서버에 대해서는 아는 게 없어 무슨 말인지, 어떻게 처리해야 하는지 몰라 문의드립니다.
---------------------
1) 첫날
-rwxr-xr-x 1 root root 1.6M Sep 26 22:09 spell
해당 파일로 인해 외부로 공격이 발생하는것으로 보여집니다.
해당 파일은 /root/hack 폴더에 넣으드렸습니다.
웹취약점을 통하여 서버에 접속하여 root 권한을 획득한것으로 보여집니다.
root 패스워드는 변경하시는게 좋을것 같습니다.
서버 점검이 필요할것 같으며, 지속적으로 재발할경우 차단될수 있습니다.
이점 참고하시기 바랍니다.
2) 비번 변경
요청하신대로 비번 변경해 드렸습니다.
몇일전 발생한 부분과 동일한것으로 보여집니다.
spell 이라는 파일이 생성되어 있었으며 /root/hack 파일안에 넣어 놓았습니다.
다른부분에서 이상이 여부를 확인해 보시기 바랍니다.
3) 차단
서버내 원격포트 22포트를 제외한 나머지 모두 차단해 놓았습니다.
점검 완료 후 방화벽을 해제하시면 모든포트에 대해서 허용처리 됩니다.
이 부분도 참고하시기 바랍니다.
답변 4
spell이 역할이 뭔지 알아내셔야 하고요.
어떤 경로를 통해서 들어왔는지 정확하게 알아내셔야 해요.
해킹 경로는 웹소스에 대한 취약점을 이용한 방법과 사내 pc를 통해서 들어오는 방법이 있어요
사내에서 p2p를 이용할 경우 사내 컴들이 먼저 감염이 되어 서버로 접근하게 되는 거죠.
이럴 경우 사내에서 p2p 사용 pc를 찾아 낸 후 그 pc 바이러스 검사 및 포맷 해야 하고요.
그 pc로 인해 다른 컴들이 감염 되었는지 점검 해야 하고요
웹소스에 의한 취약점이라면 kisa에 의해서 어떤 부분이 취약한 점인지 점검 후
취약점 리포트 나오면 그것을 바탕으로 시스템을 수정해야 해요.
절차는 이런식으로 진행 되고요.
spell에 역할을 파악 후 spell이 현재 시스템에 어떤 영향을 미치고 있는지...그 spell로 인해 웹소스 어딘가에..
악성코드가 있는지..... 바이러스가 있는지 없는지...
점검해야 해요.
이쪽 지식이 없으면 하기 힘든것이므로 보안업체의뢰를 하시거나 idc에 이런것을 해주는 서비스가 있을 거에요.
즉, 보안 업체나 idc에 의뢰를 해서 정밀 검사를 해야 해요.
한번 해킹 당한 서버는 또. 해킹 당하게 되어 있어요.
포트를 열어 영업을 하기 전 완벽하게 조치를 취한 후 .. 영업시작하셔야 해요.
재차 접근할 때는 웹소스 다 날아가요~
감사합니다. 휴~~ 어렵네요.
네.. 감사합니다. 그쪽에도 올려봐야겠네요.
써놓고 보니 글 내용이 이상하네요.
아래가 맞는 내용입니다.
현재는 방화벽을 설치하고 일부만 포트를 열어놓아
ssl만 접속이 되고 FTP나 웹은 접속이 되지 않고 있습니다.
보안인증서를 해제하자마자 이런 일이 생겼는데 보안인증서와 관련 있는 걸까요?
