14일차<br>
<br>
서버가 해킹당했다고 함<br>
<br>
1.public_html.tar.gz<br>
/home/jeonjucom.public_html 파일을 압축한 원본<br>
<br>
본인의 계정에 접속하여 파일을 백업해야함<br>
<br>
155에서 100에 접근할때 IP가 등록되어있어야하기에 학원에서는 가능하지만 집에서는 불가능<br>
>155은 접근제한(IP 차단)이 걸려있음<br>
현재 해킹은 ftp로 접근했을 가능성이 큼 21번은 막혀있기에 접근할 수 없었음<br>
<br>
현재 새롭게 만들어진 파일들:<br>
index.php 4월 19일<br>
amax.php <br>
blog <br>
dng.php<br>
googleXXX.html<br>
jusbr<br>
wp-opcache.php 3월 15일<br>
<hr>
2.접속 흔적은 어디 있는가?<br>
어디로 접속했는가?<br>
21:ftp<br>
22:ssh<br>
23:telnet<br>
80:http<br>
<br>
받은 파일의 auth1이 ssh로 접속했는지 알 수 있는것임<br>
<br>
컨트롤 + f를 누른다면 검색어를 입력하여 그것만 찾게 할 수 있음<br>
vsftp로 검색결과 ftp로는 접속한 흔적이 없음<br>
accepted로 ssh로 접속흔적을 찾아볼 수 있으나 접속흔적 없음<br>
telnet은 열어놓지 않았기에 불가능<br>
<br>
이후 hacking.zip 파일을 올려주신 것에 접속해 해킹흔적을 찾을 것임<br>
ip_access_with_location.csv에 접속하면 어떤 IP가 얼마나 접속했는지 알 수 있고<br>
그리고 공유폴더에 올라온 access 폴더를 열어보면 실제 접속 로그를 볼 수 있음<br>
211.249.246.179에서 193871번 접속함<br>
access에서 15/Mar을 검색해서 위 IP의 접속기록을 보면 1분에 10번꼴로 wordpress폴더를 공격함<br>
인터넷에서 새로운 wordpress를 다운받을거임<br>
해킹당한 wordpress를 복사해서 XAMPP에 갖다놓을거임<br>
이후 새롭게 받은것과 해킹당한 것을 비교할거임<br>
해킹당한 wordpress를 누르면 wordpress가 아닌 구글로 이동되는 외부코드를 심어놓은 듯함<br>
오염된 것을 wordpress1이라고 가정<br>
새로 받은 것을 wordpress로 가정<br>
wordpress에 index.php에 banhosts라는 리스트에 있는 사이트에 접속할 경우 그 사이트에서 접속을 차단하여 404에러가 발생하는 것으로 보임<br>
<hr>
joenjucom.kr 사이트 침해사고<br>
최초 공격 시점?<br>
>네트워크 패킷 분석<br>
>로그에 남은 시간<br>
공격의 의도는?<br>
>공격 분석<br>
wordpress1 > .htaccess > index.php<br>
.htaccess 파일에 포함되어 있는 IP만 접근 가능하도록 함(이유:)<br>
<hr>
문제가 생긴 것을 가장 쉽게 찾는것은 해킹당한 것과 백업본 등을 비교하여 문제점을 찾는것<br>
이렇기 때문에 백업본을 만들어둬야함<br>
<hr>
*중요* 해커가 만든 코드를 분석하고 의도를 파악하기 위해 코딩 실력도 같이 키워야함<br>