리눅스 분류
서버 해킹당했는데 고칠길이...
작성자 정보
- 포도나무 작성
- 작성일
컨텐츠 정보
- 2,014 조회
- 4 댓글
- 0 추천
-
목록
본문
안녕하세요.
운용하던 웹서버중 한대가 해킹 당한것 같습니다.
/ 까지 당한건 아니고 사용자들 홈디렉토리 정도까지만 뚤린거 같습니다. 모두 뚤린것도 아니고 몇개만...
지금 로그파일 분석하고 있기는 한데, index 파일을 원본 파일로 교체를 해도 해킹당한 페이지로 메인 페이지가 뜹니다.
이거 좀 복잡시럽네요... 처음 겪는 일이라...
조언 부탁드립니다.
chkroot rootkit 헌터 돌렸는데 별다른 이상은 없었고, chkroot 돌렸더니 passwd 파일 변경된 시간이 있길래 봤더니 시간대는 알겠습니다.
변경된 몇몇 유저들만 해킹 당한거 같은데 백업으로 다 복구해도 똑같은 페이지가 보여서... 영 난감하네요...
고수님들의 고견한 조언 부탁드립니다.
운용하던 웹서버중 한대가 해킹 당한것 같습니다.
/ 까지 당한건 아니고 사용자들 홈디렉토리 정도까지만 뚤린거 같습니다. 모두 뚤린것도 아니고 몇개만...
지금 로그파일 분석하고 있기는 한데, index 파일을 원본 파일로 교체를 해도 해킹당한 페이지로 메인 페이지가 뜹니다.
이거 좀 복잡시럽네요... 처음 겪는 일이라...
조언 부탁드립니다.
chkroot rootkit 헌터 돌렸는데 별다른 이상은 없었고, chkroot 돌렸더니 passwd 파일 변경된 시간이 있길래 봤더니 시간대는 알겠습니다.
변경된 몇몇 유저들만 해킹 당한거 같은데 백업으로 다 복구해도 똑같은 페이지가 보여서... 영 난감하네요...
고수님들의 고견한 조언 부탁드립니다.
관련자료
-
이전
-
다음
댓글 4
흑산대왕님의 댓글
- 흑산대왕
- 작성일
DB파일이나 특정 스크립트로 index.파일을 바꿔치기 하는 수법같습니다.
아마 숨겨진 파일로 되어 있을 듯 하네요 :)사용자분들의 디렉토리를 하나하나 뜯어보셔야 할 듯.
아마 숨겨진 파일로 되어 있을 듯 하네요 :)사용자분들의 디렉토리를 하나하나 뜯어보셔야 할 듯.
포도나무님의 댓글의 댓글
- 포도나무
- 작성일
어떻게 index 파일을 바꾸는게 가능한지 그게 의문입니다. 해당 계정에대한 로그가 없어서 찾지를 못하고 있습니다. 백업파일로 복구는 해 놨는데 어떻게 이게 가능한지 영 모르겠네요... 답변 감사드립니다.
장원준님의 댓글
- 장원준
- 작성일
서버해킹 당했다면 확실하게 어떤 경로로 당했고 방법을 모른다면.
서버 엎고 다시 재설치 하는게 정답입니다.
index 변조 해킹은 한국정보보호원 에 예전에 공지글과 함께 웹방화벽 설치 하라고
자세하게 안내글과 웹방화벽 설치 메뉴얼이 공개되어 있습니다. 참고 해보세요.
index write edit 요런 파일이 변조 가 되고 특이 게시판 자료 업로드 쪽 게시판
그리고 ftp 접속해서 변조 한다고 하네요.
웹방화벽 설치,ftp 사용금지(최소한 공개포트 는 변경) sftp 사용권장...
지나가다가 몇자 적고 갑니다.
서버 엎고 다시 재설치 하는게 정답입니다.
index 변조 해킹은 한국정보보호원 에 예전에 공지글과 함께 웹방화벽 설치 하라고
자세하게 안내글과 웹방화벽 설치 메뉴얼이 공개되어 있습니다. 참고 해보세요.
index write edit 요런 파일이 변조 가 되고 특이 게시판 자료 업로드 쪽 게시판
그리고 ftp 접속해서 변조 한다고 하네요.
웹방화벽 설치,ftp 사용금지(최소한 공개포트 는 변경) sftp 사용권장...
지나가다가 몇자 적고 갑니다.
장원준님의 댓글
- 장원준
- 작성일
index 변조는 악성코드 유포하는게 많아서 빨리 조치해야지 됩니다.
