공격 당하고 있습니다ㅠㅠ 정보
공격 당하고 있습니다ㅠㅠ
본문
어제 저녁부터 인덱스 변조에 /js폴더의 파일들이 변조 되고 있습니다.
사람들이 악성코드 있다고 접속이 안된다고 하네요.
서버 관리자랑은 연락도 안되고 아주 죽겠습니다.
오늘 점심경까지는 해당 파일을 복구하면 몇분 뒤 다시 변조가 되다가 이제는 아지 초단위로 변조가 됩니다.
처음에는 정해진 파일만 바꾸다가 제가 복구하니까 헛점을 노려서 다른파일을 바꾸는 걸 보니 사람이 직접 바꾸는거 같았습니다.
그런데 이젠 정해진 파일만 계속 초단위로 바뀌는거 보니까 무슨 프로그램이라도 돌리는지 속수 무책이네요.
몇십분동안 아무것도 안하다가 방심한 틈을 타서 다시 복구를 해보려고 해도 다시 초단위로 바뀌는걸 보니 이건 orz
ftp 비번을 바꿔보라고요?
수십번을 바꿔도 소용이 없어요.
백신도 다 돌려봤습니다.
이런 상황에서는 어떻게 대처를 해야하나요.ㅠㅠ
1111111
추천
0
0
댓글 6개
ㅋ 저한테 룻 알려주면 3분안에 해결가능해욤~ ㅎ
*** 개인정보보호를 위한 이메일주소 노출방지 *** 메신저 ..
급하시면 연락주세여 ㅋ
*** 개인정보보호를 위한 이메일주소 노출방지 *** 메신저 ..
급하시면 연락주세여 ㅋ
아는분 서버 빌려쓰는거라서 루트 권한이 없습니다orz
카스퍼스키 안티바이러스 제품을 설치하시고 pc 검사부터 하시기 바랍니다.
알약, v3 소용 없어요.
검사 후 ftp 패스워드 변경하셔야 합니다.
전체 파일을 원본소스로 변경하시고, 통백업 후 카스퍼스키로 백업파일을 검사하시기 바랍니다.
그래도 계속 증상이 발생되면 서버를 옮기는 최후의 방법을... -_-;
알약, v3 소용 없어요.
검사 후 ftp 패스워드 변경하셔야 합니다.
전체 파일을 원본소스로 변경하시고, 통백업 후 카스퍼스키로 백업파일을 검사하시기 바랍니다.
그래도 계속 증상이 발생되면 서버를 옮기는 최후의 방법을... -_-;
이미 숨겨진곳에 있는 백도어 때문에 변조가 되는것인데 패스워드 변경은 무의미 합니다.
잡을려면 루트부터 쭈욱 파일에 대한 검증부터 해야지
비밀번호 수십번 바꾼다고 되지 않죠
잡을려면 루트부터 쭈욱 파일에 대한 검증부터 해야지
비밀번호 수십번 바꾼다고 되지 않죠
이미 삽입된 수많은 레코드 중에 sql injection 으로 감염된 곳이 있다면 모든 것들이 소용없습니다.
이번에 유명한 pda 싸이트도 그 공격을 당했었잖습니까... 이미 더렵혀진 sql 코드들을 덤프를 떠서 찬찬히 눈으로도 확인하신 후 펄이나 정규식으로 다 깨끗이 하신후 새로 디비에 넣으시고, 절대로 파일이나 폴더 권한을 777로 준 것이 없는지도 확인하시기 바랍니다. 가급적 yum 을 통하여 서버 업데이트도 빠짐없이 자주 하시기 바라고, 방화벽이 안되면 웹방화벽이라도, 고정 아이피에서만 ssh가 접속되도록 하는 것도 중요합니다... 화이팅...
요즘 월 5500원에 가상서버호스팅을 하게 해주는데, 제가 몇달째 운영을 해보는데 썩 나쁘지 않은 것 같습니다. 방화벽이 잘되어있는 곳이라면 스마일서브도 좋습니다. 단, 그곳은 월 16500이더군요... 참고하시길 바랍니다. 아는 분께 임대해 쓰지 마시고 단독으로 서버도 설치,운영해보심도 나쁘지 않을 듯합니다...
이번에 유명한 pda 싸이트도 그 공격을 당했었잖습니까... 이미 더렵혀진 sql 코드들을 덤프를 떠서 찬찬히 눈으로도 확인하신 후 펄이나 정규식으로 다 깨끗이 하신후 새로 디비에 넣으시고, 절대로 파일이나 폴더 권한을 777로 준 것이 없는지도 확인하시기 바랍니다. 가급적 yum 을 통하여 서버 업데이트도 빠짐없이 자주 하시기 바라고, 방화벽이 안되면 웹방화벽이라도, 고정 아이피에서만 ssh가 접속되도록 하는 것도 중요합니다... 화이팅...
요즘 월 5500원에 가상서버호스팅을 하게 해주는데, 제가 몇달째 운영을 해보는데 썩 나쁘지 않은 것 같습니다. 방화벽이 잘되어있는 곳이라면 스마일서브도 좋습니다. 단, 그곳은 월 16500이더군요... 참고하시길 바랍니다. 아는 분께 임대해 쓰지 마시고 단독으로 서버도 설치,운영해보심도 나쁘지 않을 듯합니다...
벡도어 그놈을 찾아내기전까진....;;
