리눅스 분류
관리중인 서버가 다른서버를 공격
작성자 정보
- 궈니 작성
- 작성일
컨텐츠 정보
- 1,626 조회
- 2 댓글
- 0 추천
- 목록
본문
클라우드 서비스에 리눅스 CentIOS6 을 운영중입니다
(주요 서비스 Mariadb10,Nginx,php-fpm,dovecot)
최근에 클라우드 서비스 업체에서 저희가 운영중인 서버가 다른 서버를 심각하게 공격중이기 때문에
원인을 찾아서 해결 하거나 해당 서버를 off 시켜야 한다고 연락을 해왔습니다.
원인은 다양 하겠지만 자사의 서버가 다른서버들을 공격하는 서버로 이용되는 경우
어떤 부분을 체크 해야 할까요?
(리눅스 관련 전문 지식이 없는 관계로 클라우드 서비스 업체에서 서비스를 받고 있었는데
이런 경우 참 난감 하네요)
관련자료
-
이전
-
다음
댓글 2
지유파파님의 댓글
- 지유파파
- 작성일
리눅스 관련 지식이 없으시다면, 클라우드 서비스 업체에 추가 비용을 지불하고 점검을 요청할 수 있는지 확인 해보시는게 우선일 듯 합니다.
그외에 가장 먼저 할 수 있는건 관리자 및 사용자 비밀번호 변경 및 재기동입니다.
아이디/암호 노출로 인해서 원격 접속이 이루어진 것이라면 임시로 나마 막을 수 있을 것이며,
백도어가 설치 되었거나 다른 툴이 설치 되어 있다면 암호 변경만으로는 힘들지도 모르겠네요.
루트킷 점검은 인터넷에 찾아보시면 많은 정보가 나오니 찾아서 한번 점검 해보시면 좋을 듯 합니다.
추후 iptables설정 (국내 서비스만 하는 것이라면 해외 IP를 막을 수 있으며) fail2ban 등을 통해 지속적으로 접속 시도하는 bot 들을 걸러 낼 수도 있을 것으로 생각됩니다.
그외에 가장 먼저 할 수 있는건 관리자 및 사용자 비밀번호 변경 및 재기동입니다.
아이디/암호 노출로 인해서 원격 접속이 이루어진 것이라면 임시로 나마 막을 수 있을 것이며,
백도어가 설치 되었거나 다른 툴이 설치 되어 있다면 암호 변경만으로는 힘들지도 모르겠네요.
루트킷 점검은 인터넷에 찾아보시면 많은 정보가 나오니 찾아서 한번 점검 해보시면 좋을 듯 합니다.
추후 iptables설정 (국내 서비스만 하는 것이라면 해외 IP를 막을 수 있으며) fail2ban 등을 통해 지속적으로 접속 시도하는 bot 들을 걸러 낼 수도 있을 것으로 생각됩니다.
궈니님의 댓글의 댓글
- 궈니
- 작성일
답변 감사 합니다.
비번 재설정 리붓은 바로 했습니다.
루트킷도 돌려 봤는데 감염은 없는걸로 나왔습니다.
혹시나 해서 웹쉘 공격이 의심되어 사용하지 않던 워드프레스로 구축된 웹페이지를 모두 날려 버렸습니다. ㅡ.ㅡ
(일단 지금 까지는 다른 서버를 공격하는 현상은 발생 되지 않고 있습니다)
비번 재설정 리붓은 바로 했습니다.
루트킷도 돌려 봤는데 감염은 없는걸로 나왔습니다.
혹시나 해서 웹쉘 공격이 의심되어 사용하지 않던 워드프레스로 구축된 웹페이지를 모두 날려 버렸습니다. ㅡ.ㅡ
(일단 지금 까지는 다른 서버를 공격하는 현상은 발생 되지 않고 있습니다)
