해킹된 윈도우 서버(Windows 2003) 정상화 > 에필로그

서버가 다운되고 로그인이 안되다 해서 처음은 직원중 누가 암호를 바꾸지 않았나 했다.
그런 사람이 없다고 하여 암호만 초기화 하면 되겠지 했다.

1. ntpassword 툴이 들지 않음
2. hirens 툴도 안됨
3. 디스크를 때서 다른 곳에 붙혀 권한을 수정했어도 ntpassword, hirens으로 초기화가 안됨
4. pe에서 sethc.exe 이용하는 것도 안됨
5. 설치 초기 암호는 알고 있다 하여 결국, repair안에 있는 sam 파일을 엎어서 부팅 후 로그인할 수 있었음      

로그인해서 들어가 보니 해커가 한 짓은 다음이었다.

1. Administrator 암호 변경
2. 원격 데스크 톱 포트 변경
3. 백신 삭제, 팀뷰어 삭제, 백업 파일 삭제
4. 서비스로 실행돼지는 용도 불명의 간체로 된 프로그램 설치
5. winrar, vmware, 원격감시, 무슨 이상한 간체로 된 유틸들 설치
6. 주요 폴더들의 권한을 알 수 없는 계정으로 대체
7. 일부 파일을 수정 못하게 했고 수정될 내용이 메모리나 캐시에만 있도록 함
8. .windows 7을 vm으로 3개 설치
9. cpu를 빼고 성능에 답답함을 느꼈는지 드라이버들을 패키지로 업데이트
10. 서버가 다운 될 정도로 vm을 구동

웹서비스만 하는 서버라고 해서 sql, 윈도우 업데이트만 빼고 모조리 삭제했다.

1. 언인스톨
2. 언인스톨이 안되는 것은 해당 폴더 삭제, 서비스 제거, 해당 레지스트리 제거, 해당 AppData 제거
3. 방화벽을 다시 올리고 불필요한 룰들 제거
4. 백신 설치하고 풀 스캔과 mrt 전체 검사로 바이러스, 웜, 트로잔 제거
5. 전용 백신으로 애드웨어, 악성코드 제거
6. 임시, 캐시 파일 제거
7. 지꺼기 폴더, 파일 삭제
8. IPSec으로 인바운드, 아옷바운드 모두 막고 인바운드 tcp 80, 443, 터미널 포트만 허용
9. 불필요한 서비스 제거 또는 사용 안함으로 설정
10. Administrator 변경
11. 관리자 암호, 로컬 보안 정책, 암호, 접속 차단, 잠금 정책 강화
12. 터미널 포트 변경msconfig, 레지스트리, autorun 등으로 시작 프로그램 정리

이후, 일주일 가량 모니터링을 하는 동안 여전히 로그인 실패가 많았다.
보안 정책이 적절히 작동하고 있으나 해킹됐던 거라 그런지 포기하지 않아 회선사에 의뢰해서 ip를 바꿀 것을 권했다.
vm으로 뭘 했는지 궁금했으나 급하고 여유가 없어 알아보지는 못했다.