14일차<br>
<hr>
오늘은 어제 해킹당했다<br>
학원 원장님한테 국정원에서 전화가 왔다 교수님 친구중에 국정원이 있다<br>
<hr>
전주컴 해킹사건 분석<br>
1.public_html.tar.gz<br>
/home/jeonjucom/public_html 파일을 압축한 원본<br>

155(접근제한)> 100<br>
IP차단방식으로 접근차단 등록IP외에는 접속 X<br>
155<br>

해킹당하므로써 새롭게 만들어진 파일들은 무엇인가?<br>
index.php 4월19일<br>
amax.php<br>
blog<br>
dng.php<br>
googleXXX.html<br>
jusbr<br>
wp-opcache.php3월 15일<br>
3월 이전부터 공격시도가 있었을것으로 예상됨<br>

웹이나 FTP로 뚫려서 해킹을 당했을수있다<br>

교수님이 올려준 로그를 다운받아서 에딧플러스로 열어서 컨트롤 F 눌러서 로그를 쭉 살펴본다 수업날짜 외에 접속흔적이 있는지 본다<br>
vsftp는 ftp로 접속한 흔적이 있는지 찾는것<br>
accepted 는 ssh로 접속했는지 찾아보는것<br>

2.접속 흔적은 어디 있는가?<br>
어디로 접속했는가?<br>
21:ftp 접속흔적 X<br>
22:ssh 접속흔적 X<br>
23:telnet 열어놓지 않았기때문에 X<br>
80:http 
<br>
카톡에 올라온 파일중에 <br>
auth 1은 ssh로 접속했는지 알수있는것<br>

공유받은 파일중에 access log 와 ip access with log(어디서 얼마나 접속했는지 뜨는 로그) 띄위서<br>

엑세스 로그에서 15/Mar 을 쳐서 로그 확인<br>
분당 10번꼴로 공격을 했던 흔적이 있음<br>
해킹범이 wordpress 에서 4-study 로 접속을 하려는 흔적이 있기때문에<br>
워드프레스를 깔아서 확인해볼것이다<br>

워드 프레스 를 검색후<br>
직접다운로드하여 설치<br>
지금 다운받은것은 해킹이 안당한 새 워드프레스 이고 파일에있는 해킹당한 워드 프레스를 복사해서 <br>
파일 xampp>htdocs에다가 붙여넣는다<br>
그리고 워드프레스를 쳐서 들어가보면 구글로 연결되게끔 해커가 만져놨다<br>
우리가 여기를 들어가면 구글 아이디 비번이 해커한테 정보가 간다<br>
해킹당한 사이트 소스코드와 새로다운받은 워드프레스 소스코드를 비교해서 뭐가 달라졌는지 찾는다<br>

해킹범이 만진 워드프레스에서 index.php 중에 banhosts 라는 변수가 있는데 접속할때 banhosts안에 있는 이름으로 접속할경우 404에러가 뜬다<br>
htaccess 파일에맨 아래 구글로 이동되는 코드가 있다 <br>


jeonjucom.kr 사이트 침해사고 발생<br>
최초 공격 시점?<br>
>네트워크 패킷 분석<br>
>로그에 남은 시간<br>
공격의 의도는?<br>
>공격 분석<br>
wordpress1 > .htaccess > index.php<br>
.htaccess 파일에 포함되어 있는 IP만 접근 가능하도록 함 이유는 아직 모름<br>

깨끗한것과 해킹당한것을 직접 비교하면 쉽게 찾을수있음<br>
오픈소스를 쓰면 깨끗한게 웹에있어서 해킹당한것과 비교하기 쉬운데<br>
자기가 만든 소스를 쓰면 원본을 백업해둔게 아니면 비교하기 힘들다<br>

xshell에서 155번 서버에서 ssh 192.168.0.100 으로 들어가서<br>
ls를 치면 public_html이 나오는데 cd public_html ls를 치면 서버에 뭐가 만들어져 있는지 나온다<br>