나는 이전 버전의 lighttpd(freebsd 6.2-RELEASE(예, 이전) 시스템에서 1.4.19)를 실행하는 서버를 가지고 있는데 Google에서 내 서버 페이지 중 하나에 악성 코드가 내장되어 있음을 발견했다고 경고했습니다. 그것은 우연히 우리의 색인 페이지였습니다. 나는 즉시 맬웨어를 제거하고 서버 로그를 조사하여 맬웨어가 어떻게 거기에 도달했는지 살펴보기 시작했습니다. 편집 중인 파일의 로그에는 아무런 흔적도 없었는데, 인덱스 페이지의 소유자가 lighttpd 사용자인 www로 변경된 것을 발견했습니다. 그런 다음 해당 소프트웨어 버전에 대해 일종의 유효성이 존재해야 한다고 결론을 내리고 즉시 1.4.26으로 업그레이드했습니다.
이제 악성코드가 돌아왔습니다. 나는 ftp, lighttpd 및 모든 로그인 시도를 사용하여 매우 장황한 서버 로깅을 시작하여 이 스크립트가 어떻게 들어오는지 확인하려고 시도했습니다. 취할 다른 접근 방식에 대한 제안이 있습니까?
답변1
귀하의 웹 사이트가 손상/손상되었으며 이러한 일이 발생하면 일반적으로 공격자의 모든 단계를 다시 생성하는 것이 매우 어려우며 가장 좋은 해결책은 손상된 서버를 다시 설치하는 것입니다. 반면에, 무슨 일이 일어났는지 파악하고 재발을 방지하려면 몇 가지 포렌식을 수행해야 합니다.
확인해볼 가치가 있는 항목 목록은 다음과 같습니다.
- 웹 서버와 FTP 서버 버전에 알려진 취약점이 있는지 확인하세요.
- 가능한 모든 로그 파일, 특히 웹 서버, FTP 서버 및 시스템 로그 파일을 살펴보십시오. 웹서버 로그 파일에서 게시물을 확인하세요.
- 필요하지 않은 실행 중인 서비스가 있나요? 인터넷에서 액세스할 수 있나요? 지금 종료하고 로그를 확인하고 알려진 취약점이 있는지 확인하세요.
- 루트킷 검사기를 실행하십시오. 그들은 오류가 없는 것은 아니지만 당신을 올바른 방향으로 이끌 수 있습니다. chkrootkit, 특히 rkhunter는 작업을 위한 도구입니다.
- 서버 외부에서 nmap을 실행하고, 있어서는 안되는 포트에서 수신 대기 중인 것이 있는지 확인하십시오.
- rrdtool 트렌드 애플리케이션(예: Cacti, Munin 또는 Ganglia)이 있는 경우 그래프를 살펴보고 가능한 공격 기간을 검색하세요.
또한 항상 다음 사항을 명심하세요.
- 필요하지 않은 모든 서비스를 종료하세요
- 서버를 재구축하는 데 필요한 모든 것을 백업하고 정기적으로 백업을 테스트하세요.
- 최소 권한 원칙을 따르세요
- 특히 보안 업데이트와 관련하여 서비스를 업데이트하십시오.
- 기본 자격 증명을 사용하지 마세요
도움이 되었기를 바랍니다!