해킹된 윈도우 서버(Windows 2003) 정상화 > 에필로그

본문 바로가기

해킹된 윈도우 서버(Windows 2003) 정상화

페이지 정보

작성자 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 에필로그 댓글 0건 조회 3,420회 작성일 18-06-29 18:55

본문

서버가 다운되고 로그인이 안되다 해서 처음은 직원중 누가 암호를 바꾸지 않았나 했다.
그런 사람이 없다고 하여 암호만 초기화 하면 되겠지 했다.

  1. ntpassword 툴이 들지 않음
  2. hirens 툴도 안됨
  3. 디스크를 때서 다른 곳에 붙혀 권한을 수정했어도 ntpassword, hirens으로 초기화가 안됨
  4. pe에서 sethc.exe 이용하는 것도 안됨
  5. 설치 초기 암호는 알고 있다 하여 결국, repair안에 있는 sam 파일을 엎어서 부팅 후 로그인할 수 있었음      

로그인해서 들어가 보니 해커가 한 짓은 다음이었다.

  1. Administrator 암호 변경
  2. 원격 데스크 톱 포트 변경
  3. 백신 삭제, 팀뷰어 삭제, 백업 파일 삭제
  4. 서비스로 실행돼지는 용도 불명의 간체로 된 프로그램 설치
  5. winrar, vmware, 원격감시, 무슨 이상한 간체로 된 유틸들 설치
  6. 주요 폴더들의 권한을 알 수 없는 계정으로 대체
  7. 일부 파일을 수정 못하게 했고 수정될 내용이 메모리나 캐시에만 있도록 함
  8. .windows 7을 vm으로 3개 설치
  9. cpu를 빼고 성능에 답답함을 느꼈는지 드라이버들을 패키지로 업데이트
  10. 서버가 다운 될 정도로 vm을 구동

웹서비스만 하는 서버라고 해서 sql, 윈도우 업데이트만 빼고 모조리 삭제했다.

  1. 언인스톨
  2. 언인스톨이 안되는 것은 해당 폴더 삭제, 서비스 제거, 해당 레지스트리 제거, 해당 AppData 제거
  3. 방화벽을 다시 올리고 불필요한 룰들 제거
  4. 백신 설치하고 풀 스캔과 mrt 전체 검사로 바이러스, 웜, 트로잔 제거
  5. 전용 백신으로 애드웨어, 악성코드 제거
  6. 임시, 캐시 파일 제거
  7. 지꺼기 폴더, 파일 삭제
  8. IPSec으로 인바운드, 아옷바운드 모두 막고 인바운드 tcp 80, 443, 터미널 포트만 허용
  9. 불필요한 서비스 제거 또는 사용 안함으로 설정
  10. Administrator 변경
  11. 관리자 암호, 로컬 보안 정책, 암호, 접속 차단, 잠금 정책 강화
  12. 터미널 포트 변경msconfig, 레지스트리, autorun 등으로 시작 프로그램 정리


이후, 일주일 가량 모니터링을 하는 동안 여전히 로그인 실패가 많았다.
보안 정책이 적절히 작동하고 있으나 해킹됐던 거라 그런지 포기하지 않아 회선사에 의뢰해서 ip를 바꿀 것을 권했다.
vm으로 뭘 했는지 궁금했으나 급하고 여유가 없어 알아보지는 못했다.


댓글목록

등록된 댓글이 없습니다.

에필로그 340건/13페이지
에필로그 목록
번호 제목 글쓴이 조회 날짜
160 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 1948 05-23
159 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3448 06-24
158 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3199 06-23
157 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3303 06-23
156 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 4570 06-23
155 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3380 06-23
154 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 4797 08-28
153 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3472 07-03
152 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 4311 07-03
151 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3216 07-03
150 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 4073 07-03
149 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3225 07-03
148 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3431 06-29
열람중 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3421 06-29
146 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 3088 06-29
게시물 검색
[문의] 전화 : 0707-443-0499 메일 : t8@t8.co.kr [분야] Linux, Unix, Windows DNS, 웹, WAS, 역방향프록시, 앱 SQL, 메일, 스트리밍, CDN SMB/CIFS, FTPs, NFS, AFP IKEv2, OpenVPN, WireGuard 대범위 DHCP, WiFi 종속포털, AAA DDoS 우회/분산, 랜섬웨어 대비 장애/재난/해킹시스템 복구 서비스/P2V 마이그레이션 XSS/웹쉘/인젝션/백도어 제거 서버 업그레이드/교체/이전 주문/맞춤/복합/간이서버 제작 특별/희귀/생소한 시스템 상담/구현 문제해결 외

Copyright © T8. All rights reserved.