|
|
[필독] 처음 오시는 분을 위한 안내 (737) |
정은준1 |
2014-05 |
5219388 |
0 |
|
2014-05
5219388
1 정은준1
|
|
|
(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234) |
 백메가 |
2015-12 |
1748639 |
25 |
|
2015-12
1748639
1 백메가
|
|
11114 |
CPU vs GPU (21) |
AMD빌런 |
2021-11 |
2437 |
1 |
|
2021-11
2437
1 AMD빌런
|
|
11113 |
2개의 RAID1 볼륨을 SPAN형식으로 묶는게 가능한가요? (4) |
HanUyo |
2020-05 |
2437 |
0 |
|
2020-05
2437
1 HanUyo
|
|
11112 |
백화점에서 남자 잠옷 어디서 파나요? (1) |
영산회상 |
2020-12 |
2437 |
0 |
|
2020-12
2437
1 영산회상
|
|
11111 |
[비컴] 차에 페인트가 떨어졌는데 어떻게 하면 좋을까요? (6) |
정진환 |
2020-12 |
2437 |
0 |
|
2020-12
2437
1 정진환
|
|
11110 |
통신사 고정 ip와 내 공유기 고정 ip 차이점?(블록체인 노드 검증) (12) |
이치타카 |
2024-04 |
2436 |
0 |
|
2024-04
2436
1 이치타카
|
|
11109 |
[질문] HP-UX rx6600 - OS 백업 Ignite 관련 문의 (1) |
라이크유 |
2023-08 |
2436 |
0 |
|
2023-08
2436
1 라이크유
|
|
11108 |
ECC램 오버나 램타이밍 조절가능 (2) |
drama |
2021-11 |
2436 |
0 |
|
2021-11
2436
1 drama
|
|
11107 |
D-1581 관련해서 질문드립니다 (17) |
KurTurCho |
2022-04 |
2436 |
0 |
|
2022-04
2436
1 KurTurCho
|
|
11106 |
와이파이증폭기 (16) |
pumkin |
2022-04 |
2436 |
0 |
|
2022-04
2436
1 pumkin
|
|
11105 |
이런 인두기 팁은 뭘로 검색해야하나요? (8) |
강한구 |
2023-03 |
2436 |
0 |
|
2023-03
2436
1 강한구
|
|
11104 |
hp서버 DL360 gen 10 ams 설치 (4) |
lenux8 |
2022-11 |
2436 |
0 |
|
2022-11
2436
1 lenux8
|
|
11103 |
usb 허브 추천 부탁드립니다. (9) |
명랑 |
2022-10 |
2435 |
0 |
|
2022-10
2435
1 명랑
|
|
11102 |
2cpu 활동에 대한 궁금한점 여쭙니다. (8) |
famtory |
2021-03 |
2435 |
0 |
|
2021-03
2435
1 famtory
|
|
11101 |
슈마4U 핫스왑. 이거 고장인가요 ? - 진행상황입니다. (3) |
캔위드 |
2019-02 |
2435 |
0 |
|
2019-02
2435
1 캔위드
|
|
11100 |
network 고수님들 질문 있습니다. opnsense의 log를 내부망 PC로 forwardind하려고 … (2) |
howl2010 |
2023-07 |
2435 |
0 |
|
2023-07
2435
1 howl2010
|
|
11099 |
마닉 700W SFX 골드파워가 발열이 심한것 같습니다. (12) |
 화정큐삼 |
2024-07 |
2435 |
0 |
|
2024-07
2435
1 화정큐삼
|
|
11098 |
오피스넷 유동IP와 고정IP (4) |
술이 |
2022-11 |
2435 |
0 |
|
2022-11
2435
1 술이
|
|
11097 |
기기등록에 실패하였습니다... (4) |
 리장님 |
2020-01 |
2435 |
0 |
|
2020-01
2435
1 리장님
|
|
11096 |
[ zsh ] bindkey 정의 및 수행 (2) |
전설속의미… |
2020-08 |
2435 |
0 |
|
2020-08
2435
1 전설속의미…
|
|
11095 |
삼성 850 pro as (3) |
2CPU최주희 |
2023-08 |
2434 |
0 |
|
2023-08
2434
1 2CPU최주희
|
무지한것에 대한것은 제가 충분히 감당할 수 있으나
여기서 많은 도움을 받았지만 밑도 끝도 없다는 이야기를 들을 필요는 없을 거 같습니다.
제가 카테고리를 어겨서 글을 올린 것도 아니고, 절박한 심정에 정중히 문의를 드린건데
밑도 끝도 없다니요.
병철님이 잘 아시는 분이시면 어떤 부분을 올려 주셔야 사람들이 알고 답변을 해줄 수 있다고 이야기를 해주시는 편이 더
좋지 않을까요?
증상이 같은 전자결제를 쓰는 2곳이 동일하여 리눅스계열에 어떤 이슈가 있는가 싶어 일단 문의드렸습니다. 감사합니다
급한 경우는 해당 프로세스륻 우선 강제 종료하고, 악성 코드를 찾아 삭제하고, 침투 위치를 분석해서 응급으로로 막는 방법이 있겠으나...
이미 공격 당한 상태라면 몇시간,몇일후 문제가 재발할 가능성이 높아 결국 재설치로 갈 가능성이 높아 보입니다.
잘 해결되었으면 좋겠네요.
일단 큰불부터 잡아야하는데 많이 답답하시겠습니다. 잘 해결되시길 바래요~
OS업데이트 및 보안 패치 한다 치면 ㅎ 다른것들 다확인 해야 되고 일이 많겠군요
저렇게 빤히 보이는 프로세스 같으면 두가지 문제인데, 사용하시는 솔루션 자체의 문제가 아니라면 백신이 어느정도 해결방안이 될 수 있을것이라 봅니다.
아울러 재설치와 같은 민감한 문제는 결재솔루션 공급자와 논의해셔야 될 부분이지 그냥 단순히 외주처리할 수 있는 부분이 아닙니다.
어차피 처음 설치도 제가 메뉴얼 보고 해서 결재솔루션도 무상으로 유저수 제한으로 사용하고 있어서, 거창하진 않습니다.
1~2초 당 1개씩 실행되면서 CPU 점유율이 높은 패턴을 보아 마이닝에 당한 것으로 의심됩니다.
일단 해당 프로세스를 죽여가면서 실행 파일을 찾아야 합니다.
ps로 실행 파일 경로를 알 수 있습니다.
찾아서 삭제합니다.
삭제해도 또 생기는 게 보통입니다.
어디에 숨어있는 백도어가 원격으로 실행되기 때문입니다.
한 두개가 아닐 것입니다.
역시 찾는 게 관건, 수작업 밖에 없습니다.
ps, netstat로 프로세스와 세션 점검,
eqxy, fqdg 문자로 시작해서 연관돼 나오는 문자열까지 검색,
최근에 생긴 디렉터리 및 파일,
/tmp, /var/run, /proc, /var/log 등을 다 뒤져야 합니다.
웹서버로 보이는데 웹루트 디렉터리 예하 퍼미션들도 점검해야 합니다.
보통 777이 있을 수밖에 없어서 입니다.
TomCat이라면 webapps 안에 이상한 게 있는지도 확인합니다.
웹서비스가 기록하는 로그도 봐야 합니다.
비정상적으로 커진 게 있다면 그 안에 단서가 되는 키워드를 찾을 수도 있습니다.
삭제 여부가 의심될 때는 일단 보류하고 모니터링합니다.
시간과 집중이 필요하지 기본적인 명령어들을 써서 잡아 낼 수 있습니다.
현실적으로 다시 설치하는 방법밖에 없을겁니다.
OS 다시 설치하시고 Webpage 던 뭐던 필요한 프로그램/설정 다시하셔야 할 것 같습니다.
보안 무시하지 마시고 (F/W, selinux) 하나하나 풀어가셔야 할것 같습니다.
rootkit이 그나마 좀 낳은게 보통 data는 건들지 않습니다.
데이터 백업 먼저 하세요
데이터는 다 살아 있습니다.
감사합니다.
차라리 신속하게 예비 서버를 준비하고, 예비서버에다 전자결재라든지 필요한 프로그램을 설치하고, 대체할 준비를 합니다.
대체용 서버가 준비되면 , 기존 서버에서 DB와 첨부 파일들을 백업하여 복원합니다.
예비서버가 잘 동작한다면 기존 서버는 다운시키고, 대체용 서버로 가동을 시작합니다.