14일차<br>
<hr>
전주컴 해킹사건 분석<br>
<br>
1. public_html.tar.gz<br>
/home/jeonjucom/public_html 파일을 압축한 원본<br>
155(접근제한) > 100<br>
IP 차단<br>
155<br>
새롭게 만들어진 파일들은 무엇인가?<br>
index.php 4월 19일<br>
amax.php<br>
blog<br>
dng.php<br>
googleXXX.html<br>
jusbr<br>
wp-opcache.php 3월 15일<br>
<br>
2. 접속 흔적은 어디 있는가?<br>
어디로 접속했는가?<br>
21 : ftp (vsftpd) > 접속흔적 x<br>
22 : ssh (Accepted) > 접속흔적 x<br>
23 : telnet<br>
80 : http<br>
<hr>
미션<br>
본인의 계정에 접속하여 파일을 백업하라!<br>
<hr>
원래 없었던 파일이 서버에 생성됨 -> 해킹 의심<br>
80(web), 21(FTP)<br>
<br>
sz access.log 를 통해 로그 파일 출력<br>
<br>
오염된 파일과 멀쩡한 파일 비교하여 차이점 분석<br>
<hr>
jeonjucom.kr 사이트 침해사고 발생<br>
최초 공격 시점?<br>
> 네트워크 패킷 분석<br>
> 로그에 남은 시간<br>
공격 의도는?<br>
> 공격 분석<br>
wordpress1 > .htaccess > index.php<br>
.htaccess 파일에 포함되어 있는 IP만 접근 가능하도록 함(이유: )<br>
<hr>
가장 쉬운 분석 방법 => 오염된 파일과 깨끗한 파일 켜놓은뒤 비교(시간이 오래걸림)<br>
깨끗한 파일이 바로 볼수있는 opensource를 사용하는 것이 좋음<br>
<br>
노트 원본은 항상 로컬컴퓨터에(Clean)<br>
<hr>