<14일차>

---

전주컴 해킹사건 분석
1. public_html tar.gz
/home/jeonjucom/public_html 파일을 압축한 원본

155(접근제한) >> 100
IP차단

새롭게 만들어진 파일들은 무엇인가?
index.php (4-19)
amax.php
blog
dng.
googleXXX.html
jusbr
wp-opcache.php (3-15)

2. 접속 흔적은 어디 있는가?
어디로 접속했는가?
21:ftp (접속흔적x)
22:ssh (접속흔적x)
23:telent
80:http

[미션]
본인의 계정에 접속하여 파일을 백업하라

jeonjucom.kr사이트 침해사고 발생
최초 공격 시점?
>네트워크 패킷 분석
>로그에 남은 시간
공격의 의도는?
>공격 분석
wordpress1 > .htaccess > index.php
.htaccess 파일에 포함되어 있는 IP만 접근 가능하도록 함(이유)

노트 원본은 항상 로컬컴퓨터(clean)