이번에 알바를 하는 곳에서 윈도우2000과 ms sql을 사용한 서버가 해킹을 당했다.

해킹의 양상은 시스템 내의 모든 asp, htm, html 파일에 iframe을 삽입해 놨고,

접속아이피는 중국 베이징 소재 통신망 회사내 아이피였다.

첫 번째 당했을 때 족히 몇 천개의 파일을 일일이 메모장으로 열어서 iframe을 삭제했다.

손으로 거의 복구를 했지만 경험부족으로 복구 못한 파일도 있었고, 로그 분석도 잘 못했었다.

계속 로그를 분석하다 시스템에 해킹 도구로 쓰인 파일들이 업로드 된 것을 발견하였고,

system32 내에 업로드 된 해킹에 사용된 파일도 찾아 지웠다.

xp_cmdshell 등을 이용하여 비주얼베이직 스크립트 파일로 한번에

시스템 내의 asp, htm, html 파일에 iframe구문을 삽입을 했던 것이었다.

복구할 때는 폴더 내에서 아이콘 보기 항목을 자세히로 바꾸어,

해킹을 당했던 파일은 마지막 수정한 날짜가 일정한 것을 착안, 그것을 복구 했다.

첫 번째 해킹을 당했을 때 서버에는 웹사이트가 5개 정도 돌아 가고 있었는데,

한 개의 목표 사이트로 해킹한 후 2개의 사이트를 더공격한 형태였다.

해킹을 방지하기 위해 관련 문서들을 찾아 봤으나 원천적으로 막을려면

소스를 수정해야한다는 것을 알고, 대략 포기했었다.

공격목표가 된 사이트는 패키지 형태로 대략 2000년도 초에 나온 인트라쿨이라는 것이었다.

소스를 일일이 수정한다는 것은 귀찮고, 모르는 것이 태반이기 때문에 포기를 했다.

해킹된 사이트만 복구를 하고 백업을 하고 일단락 지었다.

이에 대한 보복인지 두 번째 공격은 처참했다. 5개의 사이트 모두가 해킹을 당한 것이었다.

해킹을 당하고 나서 매일 로그 검사를 하였고, 해킹을 당한 그날 바로 알아차리고,

어이없음을 뒤로 한 채 바로 복구를 시도 했다.

앞의 경험(?)이 있어서인지 침착하게 대응을 했다.

일단 로그분석결과 앞에 해킹을 했었던 바로 그 놈들이었다.

같은 수법으로 해킹을 했고, 피해 파일이 너무 많았다.

일단 백업을 해놨던 사이트는 바로 복구를 하고, 나머지 사이트는 일일이 수정을 하다가, 한계가 있어

http://dcmru.tistory.com/129

위에 올려놓은 방법으로 간편하고, 재빠르게 해당 파일을 복구했다.

정말 예방을 해야겠다는 굳은 결심으로 찾아다닌 결과 밑의 항목들을 참고하였다.

more..

특히 WebKnight를 이용하였다.

어제 접속한 로그를 보니 해킹을 또 다시 시도하다가 실패 한 것으로 보였다.

그다지 실력이 없는 해커인지, 이로써 일단락지었다.