var,log,messages 의 내용을 확인해 보았습니다.
내용을 보시면 1시 23분 이후로 pwnriglhttps.service 서비스가 구동되기 시작한 것으로 보입니다.
이후부터 로그 상에서
systemd: Starting .sh
systemd: Stopped .sh
메시지가 뜰 때마다 저희쪽 프로세스 2종가 종료가 되고 있습니다
pwnriglhttps이 의심스러워 구글에 검색해본 결과 다음과 같이 서버 해킹 및 바이러스가 의심되는데 어떻게 하면 좋을까요?
서버에 백신은 설치가 되어 있지 않는데 혹시 진짜 해킹일까요? 바이러스일까요?
우선 어떤거 부터 점검을 해야 할까요?
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
2개의 답변이 있습니다.
악성 코드와 관련된 것으로 나오네요.
이름에 https가 들어 가 있는 걸로 보아서 외부와 통신을 하면서 시스템에 악 영향을 미치는 악성 코드로 추측되고요.
문제를 해결하기 위해 제일 먼저해야 할게 네트워크를 차단시키는게 우선이 아닐까 싶어보이네요.
작업을 진행하기 전에 해당 악성 코드에 대한 정보들을 충분히 수집해서 검토해 볼 필요가 있겠고...
첫번째로 네트워크를 차단시키고, 그 다음으로 악성 코드를 구동시키는 설정들을 찾아서 구동되지 못하게 처리해야 하겠고요. 작동되고 있는 악성 코드 서비스를 먼저 중지 시킨 후에 시작되지 못하게 설정해 주어도 되겠지만... 재 부팅시에 구동되지 못하게 초기 시작 설정들을 제거해 준후에 바로 재 부팅 시켜서 시스템에 악성 코드가 작동하지 않는 깨끗한 상태로 시스템을 재 시작해 주어야 하겠고요.
시스템이 악성 코드가 작동되지 않는 상태로 재 시작한 후에, root 계정의 암호를 변경해 주고, /et c/passwd file들을 쭉~ 검토해 보면서 불필요하게 추가된 계정은 없는지, 필요 이상의 권한이 할당된 계정은 없는지를 살펴봐서 불필요한 계정 삭제, 필요 이상의 권한이 할당된 계정들에 대한 권한 조정이 필요하겠고요.
netstat 등의 명령을 이용해서 불필요하게 열려 있는 서비스 포트가 있지는 않은지를 확인해서 불필요하게 열려 있는 서비스 포트들을 차단시켜 줘야 하겠고요.
방화벽 ( Linux 자체 방화벽 )에서 외부 접근이 꼭 필요한 포트와 허용 처리하고 나머지는 모두 차단 처리해두는 것이 좋을 것 같고, 접근 가능한 외부 IP들에 대한 접근 허용 리스트들을 정리할 필요가 있겠고요.
/va r/lo g/secure , /va r/lo g/syslog 등의 로그 파일을 점검해서 의심 스러운 접근들에 대한 차단 등의 조치가 필요하겠고요.
OS에 대한 최신 패치, 웹 서버에 대한 최신 패치 작업등도 해 주어야 하겠고요.
그리고, 악성 코드 관련된 파일들을 디스크 상에서 제거하여 완전히 제거해 준 후에...
네트워크를 연결시켜서 정상 서비스를 운영하면 되지 않을까 싶어 보이네요.
차바라기 | 일 년 이상 전
네 일단 백업서버를 먼저 만들고 나서 해당 데이터 이관 후에 실제 운용중인 서버 OS부터 재설치 진행하고 백신까지 설치를 할 예정입니다.
중요 서버라 네트워크를 차단을 할수 없어서 백업서버만들어서 진행할 예정입니다.
감사합니다.
같아요
systemctl disable pwnriglhttps.service그리고 rm -rf pwnriglhttps.service 삭제 하시구요
그다음 서버 백신 trendmicro 백신 또는 V3 백신을 통해 검사가 필요해 보입니다
찾으셔서 알겠지만 해당 url 참고 해보세요
https://javamana.com/2021/09/20210921202419300u.html
차바라기 | 일 년 이상 전
네. 감사합니다. 일단 해당 서비스 Disable 하고 백신 점검 해보겠습니다.