windows 2008 server 해킹당하는것 같아요. 도와주세요.

이재광   
   조회 4233   추천 0    

 안녕하세요.

혼자서 끙끙 앓다가 해결이 않돼 여쭤보려합니다.

제가 관리하는 windows 2008서버에 언제부터인가 보안감사실패 이벤트가 발생합니다.

스크린 샷은 아래와 같습니다.

이벤트 내용은 관리자 아이디로 계속 접속을 시도하려 합니다.

그런데 접속하는 IP는 나타나지 않습니다.


내부에 뭔가 있는것 같기는 한데 백신이나 기타 여러 프로그램을 돌려도 찾을수가 없네요.

스크린샷에 보다시피 초단위로 시도를 합니다.

접속하는 아이디는 관리자 아이디말고도 몇개 더 있습니다.

존재하지 않는 아이디이고요 관리자 아이디도 일단 사용정지 해놓았습니다.

혹시 이런 경헙이 있으시거나 해결책을 아시는 고수분들의 도움을 부탁드립니다.

서버에는 IIS, SQL, 기타 유틸리티등이 설치되어 있습니다.

백신은 V3를 사용하고 있고요 추가로 IOBit 안티멀웨어를 사용합니다.

랜섬웨어로 고생한번 했는데 또 문제가 생기네요.

원격접속을 막아도 이런 일이 벌어지네요.

시스템은 포맷후 새로 설치했습니다. 그 후에 이런문제가 생기는군요.

시스템이 32bit버전이라 설치할 수 있는 백신도 한정되어 있어서 v3를 설치했습니다.

mzk한번 돌려보고 싶은데 해당 OS에서는 돌아가질 않네요.

여러 고수님들의 도움을 부탁드립니다.

감사합니다.




짧은글 일수록 신중하게.
헌법1조2항 2017-12
짱깨가 해킹합니다. 백신있어도 안됩니다. 제 지인도 두번이나 당했네요...
지인 서버를 확인해봣는데 상위같은 사항으로 들어온적이 있는데 뭘까 궁금하더군요..
아무래도 보안헛점을 파고들어 브루트어택을 하는 툴이 있는거 같아요.
해킹하면 별도계정 파서 다른세션으로 로그인해서 또 다시 원격해킹툴을 돌려놓더군요 -_-;;
저는 관리자계정명을 변경(Administrator --> 다른걸로), 원격포트변경(3389 --> 다른걸로) 해두었고, 원격관리서비스 모두 정지, 보안업데이트 항상 해두었더니
당한적은 없습니다만.... Windows 2008 아무래도 버려야 할려나바요 ㅜㅜ
박문형 2017-12
네트웍 선을 끊어 버릴수 있다면 끊어버리고

의심되는 곳을 채크하면 좋은데...

현실적으로는 불가능해보입니다..

백업이 가능하시면 우선 백업부터 해 놓으세요..
2c장규식 2017-12
앞단에 방화벽설치후 그리고 룰세팅하면 잘 안 뚤립니다
헌법님 방법대로해도 시간만 벌뿐입니다
제가 방화벽앞단에 놓고 삼년째 무사고 입니다
Win2003입니다 ㅎㅎ
저는 80포트와 원격포트변경후 그리고 암호 매우 어렵게 변경작업까지 했습니다
방화벽은 공개방화벽입니다
김황중 2017-12
봇일꺼구 봇은 항상 돕니다
그래서 보안에 신경써야 하고요

원격접속 계정은
가급적 Administrator 이나 root는 않쓰시는것이 좋습니다

그리고
22번 포트나 3389포트만 비활성화해도 많이 걸러집니다


QnA
제목Page 1861/5708
2014-05   5143833   정은준1
2015-12   1677979   백메가
2021-05   4236   신관악산
2015-07   4236   램시램
2018-01   4237   두cpu
2016-01   4237   굴다리교
2018-04   4237   심바트
2018-06   4237   늘파란
2021-04   4237   신은왜
2014-04   4237   김윤술
2021-03   4237   VSPress
2015-01   4237   구쿠르그
2014-11   4237   한성호
2020-06   4238   반성만
2015-04   4238   불무골
2015-06   4238   김건우
2015-08   4238   유플렉스
2019-07   4238   검은콩
2018-04   4238   audacity
2014-01   4238   2cpumem
2016-04   4238   신우섭
2016-01   4238   눈팅돌이