ISP로부터 내 서버가 SSH를 통해 다른 서버에 여러 번 액세스하려고 시도했다는 이메일을 받았습니다. 홀 머신에서 여러 번 스캔을 실행했는데 아무 것도 나오지 않았습니다.
맬웨어를 제거하고 보안 문제를 해결하는 방법을 결정하는 방법을 아시나요?
답변1
IT 보안 전문가로서 손상된 시스템의 보안 위험에 대한 적절한 대응은 다음과 같습니다.영향을 받은 시스템을 비활성화하고(시스템과 침해를 분석하려는 경우 완전히 종료하거나 즉시 네트워크에서 연결을 끊고 격리함) 궤도에서 핵무기를 발사하여 청소하십시오. 깨끗하게 핵을 제거하고 깨끗한 백업에서 중요한 내용을 깨끗한 운영 환경의 새로운 재설치로 복원하세요.
작업이 완료되면 이 시스템에 있는 모든 애플리케이션을 강화하고 잠가야 하는지 확인해야 합니다. Wordpress 등과 같은 웹 애플리케이션을 실행하는 경우 항상 정기적으로 패치를 유지해야 합니다. 시스템에 솔루션을 추가 fail2ban하고 다양한 애플리케이션에 대해 이를 활성화하면 상황이 트리거될 때 진행 중인 공격 시도로 인해 일정 기간 동안 방화벽에서 차단되도록 하는 데 도움이 됩니다.
(시스템과 애플리케이션을 적절하게 강화하는 것은 이 단일 게시물에 비해 너무 큰 매우 광범위한 일이며 항상 사례별 분석/위험/비용 보상 분석 기준이므로 실제로 최선의 방법을 제공할 수는 없습니다. 모든 것을 제대로 굳히기 위해.)
만약 너라면정말무슨 일이 일어나고 있는지 분석하고 net-tools영향을 받는 시스템에 설치한 다음 네트워크에서 연결을 끊으십시오.
sudo apt install net-tools
작업이 완료되면 실행하여 sudo netstat -atupen시스템의 포트 22로 아웃바운드되는 연결을 찾아보고 어떤 프로세스가 포트 22 연결 아웃바운드를 트리거하는지 확인하세요. 그것도 계속 주시하고 그것이 나타나는지 확인해야 하는 경우에도 여러 번 실행하십시오. 네트워크가 없으면 아마도 시도하고 즉시 실패할 것이므로 이것을 몇 번 실행해야 할 수도 있습니다.
하지만,시스템의 모든 항목을 삭제하고 처음부터 다시 빌드하는 것이 좋습니다.맬웨어에 감염되지 않도록 정보를 더 효과적으로 백업하세요.
또한, 자신이 무엇을 하고 있는지 알지 못하는 한, 이러한 종류의 문제 때문에 자신의 네트워크에 서버 등을 호스팅해서는 안 됩니다. 홈 네트워크의 시스템 하나라도 터지면 자신의 시스템이 침해될 수 있습니다.
내 마지막 부분을 관점에 맞추려면 다음을 수행하십시오.
제 경험에도 불구하고 인터넷을 사용하는 네트워크의 모든 서버는 다른 서버가 접근할 수 없도록 강화되어 있으며, 관리형 방화벽, 관리형 스위치 등을 갖춘 엔터프라이즈급 네트워크로 구축되어 있다는 것은 내 인터넷이 직면하는 서버는 각각의 DMZ에 격리되어 더 중요한 데이터가 있는 나머지 네트워크에 연결할 수 없습니다. 이 정도 규모의 네트워크 격리 및 강화에는 '주거용' 및 '소비자' 등급 수준의 장비에서 얻을 수 있는 것보다 훨씬 더 많은 것이 필요하며, 인터넷 연결을 실제로 격리하려면 많은 추가 시간, 노력 및 지식이 필요합니다. 더 큰 침해를 방지하고 다양한 네트워크 동작에 대한 순 흐름 로깅을 얻을 뿐만 아니라 활성 정보 목록을 필터링하여 알려진 해악을 차단하는 시스템입니다. 마음이 약한 사람을 위한 것이 아니며 작동을 유지하려면 많은 노력이 필요합니다.
클라이언트용 DMZ에서 실행하는 서버 중 두 대가 최근 부적절하게 패치된 Wordpress 인스턴스로 인해 작동이 중단되었습니다. 다행스럽게도 나는 그것들을 위한 백업을 보관했기 때문에 침해된 인스턴스를 핵으로 처리하고 깨끗한 백업에서 복원한 다음 즉시 각 머신에서 패치를 적용하고 다시 강화하는 데 6시간을 보냈습니다. 각 서버에 패치가 적용되지 않은 단일 Wordpress 인스턴스가 해당 서버를 침해하고 맬웨어를 배포하려고 시도하게 되었으며, 내 IDS/IPS가 감지했습니다. 이는 다시 엔터프라이즈급 네트워크 설정이므로 투자할 시간, 인프라 및 비용이 있습니다. 모든 보호 기능이 포함되어 있습니다. 일반 서버나 주거용 네트워크 설정에는 이 기능이 없습니다.