윈도우 서버에 RWAPM을 설치한 이후, 보안엔 신경도 쓰지 않고 3년정도 운영했더니만.
자꾸 서버 해킹피해가 늘어나서 서버를 관리하는것도 점점 머리가 아파진다.


[증상]
- 서버의 폴더마다 .htaccess 파일이 생성되어 사이트 접속시 특정 사이트로 redirect 시킨다.
- 운영중인 서비스만 해당되는게 아니라 RWAPM을 설치해 놓은 드라이브 모든 폴더에 .htaccess파일을 생성시킨다.
- 기존에 있던 .htaccess 파일의 경우, 하단에 특정 문구를 삽입한다.



[참고글]
방립동's 오픈창고 > 자동화된 Injection 공격 스크립트 분석




[대응]
- .htaccess 파일이 생성된 날짜를 확인하여 RWAPM log를 확인한다.
RWAPM > RTM20040531 > logs 에서 해당 날짜 파일을 모두 열어 확인한다.
69.45.144.57 - - [26/Dec/2010:05:28:29 +0900] "GET /mysql/scripts/setup.php HTTP/1.1" 200 14049 "-" "-"
69.45.144.57 - - [26/Dec/2010:05:28:29 +0900] "POST /mysql/scripts/setup.php HTTP/1.1" 200 32306 "-" "-"
파일이 만들어진 날짜에 특정 사이트 요청이 있었다.
여유롭던 크리스마스 휴일의 여운이 전화한통으로 날아갔다. 아 머리야..

- 위 setup.php 파일을 그냥 처리해버렸다.
RWAPM > phpMyAdmin > scripts 폴더에 보니 setup.php 파일이 있다.
한참 운영중인 서버라 setup 할일 없을것 같아서 백업폴더에 복사해둔 후 파일을 삭제했다.

- 참고글의 내용에 따라 phpMyAdmin 에서 script.php 파일을 검색해보았는데 없다.

- 생성된 .htaccess 파일을 삭제하고, 수정된 .htaccess 파일을 원래대로 복구한다.
폴더가 많아 한참동안 삽질을 했다. 다시 삽질할까봐 같은 드라이브의 백업 폴더들을 모두 압축해놓았다^^

- 혹시 몰라서 서버 비밀번호도 바꾸고, 필요없는 FTP서비스도 모두 내렸다.



[모니터링]
- 대응 전 htaccess파일을 5일 주기로 공격했었다. 현재 7일이 지났으나 같은 문제는 발생하지 않는다. 일단 다행이다.

- 로그를 다시한번 확인해보았다.
82.46.79.48 - - [06/Jan/2011:17:42:38 +0900] "GET /mysql/scripts/setup.php HTTP/1.1" 404 387 "http://서버주소/mysql/scripts/setup.php" "Opera"
82.46.79.48 - - [06/Jan/2011:17:43:15 +0900] "POST /mysql/scripts/setup.php HTTP/1.1" 404 387 "http://서버주소/mysql/scripts/setup.php" "Opera"
82.46.79.48 - - [06/Jan/2011:18:02:32 +0900] "GET /mysql/scripts/setup.php HTTP/1.1" 404 387 "http://서버주소/mysql/scripts/setup.php" "Opera"
82.46.79.48 - - [06/Jan/2011:18:10:31 +0900] "POST /mysql/scripts/setup.php HTTP/1.1" 404 387 "http://서버주소/mysql/scripts/setup.php" "Opera"
앗! 1월 6일(수정후10일)에도 해당 파일을 호출한다. 다행이 6일에도 아무 이상이 없었다. 해당 날짜에 에러로그가 남아있다.






역시 모든 일은 전문가에게 맡기는게 좋다.^^
잘 모르면서 이렇게 저렇게 하다보니 몸과 마음이 고생한다.
해킹 무서워서 서버에 중요한 정보는 넣지도 못하겠다.

이정도 대응으로 다 된건지 불안하다.
머지 않아 또다른 공격이 있을 것이다. 그럼 또 찾아서 고치고~ 
참 힘들게들 산다^^




Posted by 감자전

댓글을 달아 주세요