14일차<br>
<hr>
전주컴 해킹사건 분석<br>
1. public_html.tar.gz<br>
/home/jeonjucom/public_html 파일 압축한 원본<br>
155(접근제한) > 100<br>
외부IP차단<br>
외부에선 ssh로 접근 불가<br>
미션<br>
본인의 계정에 접속하여 파일을 백업하라<br>
ssh 155 > 100로 이동<br>
다운받지 않은 파일들이 서버 내부에 있었다<br>
새롭게 만들어진 파일들은 무엇인가?<br>
amax.php 4월 19일<br>
blog<br>
dng.php<br>
googleXXXX.html<br>
jusbr<br>
wp-opcache.php 3월 15일<br>
<br>
2.접속 흔적은 어디에 있는가?<br>
어디로 접속했는가?<br>
21 : ftp<br>
22 : ssh<br>
23 : telent<br>
80 : http<br>
auth.log1을 열고 4월19일에 가서 컨트롤+F vsftp를 검색한다<br>
탐지가 안되어 이번엔 Accepted password를 수업시간 외에 접속 흔적이 없다  ssh를 외부에서 사용할 수 없기 때문이다<br>
이번엔 haking 파일을 확인하여 어떤 IP주소에서 몇번 접속했는지 확인 했더니 <br>
211.249.246.179,193871,South Korea,Jeju-do,Jeju-si<br>
제주도 211.249.246.179에서 193871번 접속하였다<br>
log파일을 받고 3월 15일 컨트롤+F로 확인<br>
211.249.246.179의 접속기록이 확인되었다 1분에 10번씩<br>
wordpress로 접속할려는게 확인 4study로 이동하려한다 <br>
새로운 wordpress 6.8 다운로드<br>
새 wordpress와 오염된 wordpress를 확인한다<br>
오염된 wordpress를 wordpress1로 새로운 wordpress은 그대로 wordpress로 명명<br>
wordpress 파일을 로컬디스크 > xampp > htdocs에서 파일 설치<br>
xampp에 오염된 wordpress를 설치하고 127.0.0.1/wordpress를 입력하자 가짜 google로 넘어가진다 여기서 아이디와 암호를 입력하면 정보가 털린다<br>
해커가 학원 서버를 경유지로 만든 것이다<br>
오염된 wordpress는 wp-가 자주 확인된다<br>
index.php에서 해커의 이메일로 추정되는 이메일을 발견하였다<br>
컴퓨터에서 127.0.0.1로 접속하자 no found가 발생하며 접속이 안되었다 그래서 index.php의 전체를 주석처리하고 메세지가 작동하나 확인해봤더니 메세지가 안보내지는걸 보면<br>
index.php보다 다른 프로그램이 먼저 시행되는 것이 확인되었다 그래서<br>
wordpress1 클릭 > .htaccess에서 맨밑을 보면 .htaccess 파일에 포함되어 있는 IP만 접근 가능하도록 설정된게 확인 되었다<br>
그래서 우리가 접속하려는 주소를 지정된 주소로 추가해서 접속하는데 성공했다<br>
<hr>
jeonjucom.kr 사이트 침해사고 발생<br>
최초 공격시점?<br>
> 네트워크 패킷 분석<br>
> 로그에 남은 시간<br>
공격의 의도는?<br>
wordpress1 > .htaccess > index.php<br>
.htaccess 파일에 포함되어 있는 IP만 접근 가능하도록 함(이유:)<br>
노트 원본은 항상 로컬컴퓨터(Clean)<br>