outbound 멀웨어 공격으로 인한 대처 질문
본문
현재 그누보드로 운영중인 사이트가 하나 있습니다
그런데 최근 임대서버(리노드) 측에서 서버를 정지시켜서 이유로 발행된 이슈를 확인해보니, 제 서버가 취약점을 노린 멀웨어에 감염되어 타 사이트를 공격하여 outbound가 급격히 올라가 정지시켰다고 하더라구요. (대략 초당 수백메가바이트 단위...)
이를 해결하려고 서버를 임시로 복구모드시켜서 clamav로 스캔하니 멀웨어가 6개 파일로 잡히는데, 이상한게 검역소로 이동시킨 뒤 또 문제가 발생해 다시 스캔을 또 하면 똑같은 파일(original path가 동일한지는 모르겠습니다. 그런데 개수는 또 6개 그대로...)이 잡힌다고 나옵니다. clean은 못하고 검역소로 또 이동만 되고...
결국 서버를 버리고 다시 파야하나 고민중인데 이건 너무 공수가 많이 들어가서...
무언가 경험자 분이나 좋은 해결책 없을까요?
답변 2
아웃바운드로 보낸다는건 보낼때 뭔가 프로세스가 있을건데 찾아야 합니다.
서버를 내리는건 어쩔수없을때 하는 방법이고
업체측에 방화벽이나 서버자체 방화벽의 아웃바운드 대부분막아두고 하나씩 원인찾아볼필요가 있습니다
발생시점하고 아이피랑 포트등 상세정보로 역추적 하면되구요
예를들면 발생시점 기준으로 변경된 파일은 없는지
실행중인 프로세스들중에 해당시간대에 시작된거랑
크론탭에 주기적으로 공격패킷을 보내는게 있는지의
기본적인 검사도 필요합니다
그리고 아마 공격이 어떻게 이뤄졌는지
일반계정, 루트계정까지 털렸는지도 확인해보아야 하고요
방화벽기능이 있는 백신을 설치하시고 그 백신프로그램에서 가능한 서버의 포트만 열어주는 방식을 택하시면 될거 같습니다.
Avast Internet Security, Total Antivirus 등을 제안드립니다.
서버를 클론해서 다시 열어도 동일한 문제가 발생하는걸 보면 이미 서버는 멀웨어에 감염되어 있다고 봐야할것 같은데, 해당 방법으로 해결이 될까요? ssh 비번이나 포트를 바꿔도 여전하더라구요.
시스템을 다시 설치하거나, 임대서버를 다른것을 선택하는것외의 최선의 방도는 위와 같은 백신시스템을 설치하는것입니다.
제가 경험이 좀 있으니 최선을 다해 도와드리고 싶습니다. 연락을 주세요.
