일본으로 해킹

오늘 서버에 접속이 안돼서 idc센터에 물어보니 우리 서버에서 일본으로 엄청난 트래픽을 보낸다는 것입니다.

그래서 랜케이블을 아예 빼놨다는데...

이럴때 서버에서 뭘 어케 봐야 하는지~~

일단 데이터는 해킹당한거 같지 않거든요~~

아직 더 봐야 알겠지만~~

경로로 이용된거 같은데~~ 해결방법좀~~

많은 고수님들의 답변 부탁드립니다.

아마 해킹당한 서버가 리눅스겠지요?

말씀하신 상태라면 어느 포트로 해킹을 했는지 모르겠지만 시스템이 완전히 장악된 상태인것 같습니다. 그곳을 통해서 다른 곳을 공격하느라 트래픽이 너무 과도하여 랜케이블을 뽑을 정도라면 해커맘에 달렸겠지만 데이타는 모두 노출이 되었다고 보시면 되고요... 아마 상당한 기간을 귀사의 서버를 이용해서 다른 서버들을 기웃거리다가 노출이 된듯 합니다.

아무튼 이정도 상태에서 해결방법은 별로 없을듯 합니다. 우선은 chkrootkit을 이용해서 시스템의 어느 부분이 감염되었나 하구 무슨 프로그램을 써서 또다른 사이트를 공격하나 정도는 알 수 있습니다. 하지만 이것을 안다고 하여 다시 복구시키기는 쉽지 않고, 복구를 했다고 해도 무었인가 남아있을 수도 있습니다.

즉 해킹 당하기 전에 방어를 하는 방법이 정답이고 해킹을 당한 후에는 어쩔 수 없이 다시 깨끗하게 재설치 하고 최신으로 업그레이드 하는 것이 제일 빠른 방법입니다.

제가 유사한 질문에 누차 답변을 드리지만 서버 해킹 기술은 나날이 변해가는데 반하여 대다수 서버 관리자의 서버보안 수준은 상당히 부족한 것이 사실입니다. 그렇다고 과도한 업무에 시달리는 서버관리자에게 고수준의 서버보안 까지 요구한 다는 것은 현실적인 무리가 있는 것도 사실이고요.

우선은 www.myservercop.com에서 제공하는 MyServerCop Linux를 사용해 보실 것을 권해 드립니다. 서버 보안의 시작은 바로 실시간 패치, 방화벽, IPS등입니다. MyServerCop Linux는 이 모든 기능이 다 실시간 자동 운영이 되므로 서버 관리자를 안심하고 퇴근할 수 있게 해 드립니다.^^ 사용해 보시고 또다른 질문이 있으면 메일이나 쪽지를 주시기 바랍니다.

Alex.

alex@myservercop.com

http://www.myservercop.com