안녕하세요.
전일 네트워크 장애로 방화벽 QoS 설정을 진행하며 트래픽 로그를 처음으로 보게 되었습니다.
로그를 확인하던 중 포트포워딩 되어있던 한 IP의 포트로 무수히 많은 외부 IP에서 접근한 흔적이 보이기에 해당 포트를 인터넷에서 검색해보니 윈도우 원격데스크톱용 포트(3389)이며 RDP 공격에 주로 사용된다고 하네요.
트래픽양으로 보면 대부분 건당 송수신 데이터양이 5kb미만인 것으로 보아 아마 접속가능 여부만 확인해본 것이 아닌가 의심이 되는데 일단 해당 포트포워딩은 삭제 처리를 하였으나 현재까지 수 없이 많은 해커들이 이 PC접속해 봤을 거라 생각하니 굉장히 불안하고 찝찝합니다.
이에 해당 PC에 악성코드/바이러스/랜섬웨어 검사 외에 다른 조치사항이 뭐가 있을까 조언 구하고자 글 남깁니다.
아는게 없다보니 매번 질문 뿐이네요.
부족한 글 읽어 주셔서 감사합니다.
6개의 답변이 있습니다.
서버에서 RDP 포트 바꾸시고, 관리자 계정 administrator에서 다른걸로 바꾸시고 비밀번호 복잡하게 하시고..3가지만 지키면 안전한듯 합니다
혹시 모르니 예방 차원에서 포맷하시는게 좋을 듯 합니다.
RDP 3389 Port로만 제어하는데에는 한계가 있을겁니다. 3389 포트 외에 변경해서 RDP로 접속 할경우가 있어
Application까지 볼수 있는 보안 장비가 있다면은 해당 보안 장비에서 제어하시는걸 추천드립니다.
일단 PC가 의심되면은 포멧부터 진행하시는게 좋을듯 싶습니다.
외부에서 내부 공인 IP로 NAT 확인도 필요합니다.
내부 시스템이 불필요하게 외부 노출이 되지 않도록 하는게 맞겠고요.
외부에서 원격으로 접속해야 하는 내부 시스템이 있다면 서비스 포트를 변경하는 것이 큰 도움이 될 수 있을 거라 생각되고요.
기본 계정이나 많이 사용하는 계정 ID도 변경해서 사용하는게 좋을 거라 생각되고, 암호도 가능한 복잡하게 만들어 사용하는게 좋겠고요.
rdp나 다른 무엇이든 뚫렸다고 의심가시면 포멧하시는 것이 좋습니다. rdp로 접속했으면 다른 우회접속 루트를 만들어 두었거나 알랴지지 않은 악성코드가 설치되었을 수 있습니다. 예방차원에서 포멧하세요
3389 RDP port만 열린것이 아닐거라 생각됩니다
전체 방화벽 정책을 엑셀로 다운 받아
Source —destination 정책별 port 확인하시고
불필요한 정책은 deny시켜야 합니다
smb나 불법 사이트 접속 같은 url 필터링으로
차단도 해야하구요