리눅스 분류
서버 공격 받았어요
작성자 정보
- 한들 작성
- 작성일
컨텐츠 정보
- 2,047 조회
- 5 댓글
- 0 추천
- 목록
본문
카페24에서 서버호스팅을 이용중입니다.
며칠 전부터 외부 공격이 있다는 연락을 받고
차단 조치를 하고 비번을 변경하고 여러가지를 했습니다.
(아래 내용 참조)
현재는 방화벽을 설치하고 일부만 포트를 열어놓아
ssl만 접속이 되고 FTP나 웹은 접속이 되지 않고 있습니다.
조치를 취하고 해제하라는데
서버에 대해서는 아는 게 없어 무슨 말인지, 어떻게 처리해야 하는지 몰라 문의드립니다.
---------------------
1) 첫날
-rwxr-xr-x 1 root root 1.6M Sep 26 22:09 spell
해당 파일로 인해 외부로 공격이 발생하는것으로 보여집니다.
해당 파일은 /root/hack 폴더에 넣으드렸습니다.
웹취약점을 통하여 서버에 접속하여 root 권한을 획득한것으로 보여집니다.
root 패스워드는 변경하시는게 좋을것 같습니다.
서버 점검이 필요할것 같으며, 지속적으로 재발할경우 차단될수 있습니다.
이점 참고하시기 바랍니다.
2) 비번 변경
요청하신대로 비번 변경해 드렸습니다.
몇일전 발생한 부분과 동일한것으로 보여집니다.
spell 이라는 파일이 생성되어 있었으며 /root/hack 파일안에 넣어 놓았습니다.
다른부분에서 이상이 여부를 확인해 보시기 바랍니다.
3) 차단
서버내 원격포트 22포트를 제외한 나머지 모두 차단해 놓았습니다.
점검 완료 후 방화벽을 해제하시면 모든포트에 대해서 허용처리 됩니다.
이 부분도 참고하시기 바랍니다.
관련자료
-
이전
-
다음
댓글 5
병구83님의 댓글
- 병구83
- 작성일
해킹의심파일을 /root/hack 안에 넣어두었고 ssl빼고 모든포트가 막아둬서 접속이 안되는걸루 보이네요
root 패스워드 파일 변경하시고 spell 이란 파일이 어떤취약점을 이용한 파일인지 확인후 조치취하신후
방화벽 해지하시면되겟네요
root 패스워드 파일 변경하시고 spell 이란 파일이 어떤취약점을 이용한 파일인지 확인후 조치취하신후
방화벽 해지하시면되겟네요
한들님의 댓글의 댓글
- 한들
- 작성일
제가 서버를 몰라서... 어떻게 할 방법이 없네요.
한들님의 댓글
- 한들
- 작성일
보안인증서를 해제하자마자 이런 일이 생겼는데 보안인증서와 관련 있는 걸까요?
Bboydolri님의 댓글
- Bboydolri
- 작성일
리눅스 Iptables 에 대해서 한번 알아보심이.. 지금 저말은 외부에서 접속하는 22번 포트 외에 다 막혀있다는 뜻이니 SSL 포트를 비롯하여 사용중이신 포트만 예외 처리로 하시면 될것같네요.
미뇽님의 댓글
- 미뇽
- 작성일
안녕하세요. : )
음...글 내용만 봐서는 정확히 판단하기는 어렵습니다.
웹취약점을 통해 침입하였다고 하였는데.. 여기에서부터 찾아나가야 할듯 합니다.
먼저 설치된 패키지들에 대한 무결성 체크가 필요하며, 패키지들의 업데이트도 필요할듯합니다.
최근 issue 된 bash 관련 문제 때문이기도 그렇구요..
spell 파일의 생성시간(변경이 될수도 있음)에 따라 access 로그를 추적해보고 다른 로그들도 슬~ 살펴 보시구요..
보통 한국보다 해외에서 공격이 많이 들어오는 터라 해외에서 접근이 필요 없다면 iptables 를 이용해서 해외 접근을
막아 보는것도 좋을듯 합니다.
음...글 내용만 봐서는 정확히 판단하기는 어렵습니다.
웹취약점을 통해 침입하였다고 하였는데.. 여기에서부터 찾아나가야 할듯 합니다.
먼저 설치된 패키지들에 대한 무결성 체크가 필요하며, 패키지들의 업데이트도 필요할듯합니다.
최근 issue 된 bash 관련 문제 때문이기도 그렇구요..
spell 파일의 생성시간(변경이 될수도 있음)에 따라 access 로그를 추적해보고 다른 로그들도 슬~ 살펴 보시구요..
보통 한국보다 해외에서 공격이 많이 들어오는 터라 해외에서 접근이 필요 없다면 iptables 를 이용해서 해외 접근을
막아 보는것도 좋을듯 합니다.
