해킹된 윈도우 서버 정상화 > 유지보수

본문 바로가기

회원로그인

회원가입 회원정보찾기

유지보수

해킹된 윈도우 서버 정상화

페이지 정보

작성자 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 댓글 0건 조회 167회 작성일 18-06-29 18:55

본문

서버가 다운되고 로그인이 안되다 해서 처음은 직원중 누가 암호를 바꾸지 않았나 했다.
그런 사람이 없다고 하여 암호만 초기화 하면 되겠지 했다.

  1. ntpassword 툴이 들지 않음
  2. hirens 툴도 안됨
  3. 디스크를 때서 다른 곳에 붙혀 권한을 수정했어도 ntpassword, hirens으로 초기화가 안됨
  4. pe에서 sethc.exe 이용하는 것도 안됨
  5. 설치 초기 암호는 알고 있다 하여 결국, repair안에 있는 sam 파일을 엎어서 부팅 후 로그인할 수 있었음      

로그인해서 들어가 보니 해커가 한 짓은 다음이었다.

  1. Administrator 암호 변경
  2. 원격 데스크 톱 포트 변경
  3. 백신 삭제, 팀뷰어 삭제, 백업 파일 삭제
  4. 서비스로 실행돼지는 용도 불명의 간체로 된 프로그램 설치
  5. winrar, vmware, 원격감시, 무슨 이상한 간체로 된 유틸들 설치
  6. 주요 폴더들의 권한을 알 수 없는 계정으로 대체
  7. 일부 파일을 수정 못하게 했고 수정될 내용이 메모리나 캐시에만 있도록 함
  8. .windows 7을 vm으로 3개 설치
  9. cpu를 빼고 성능에 답답함을 느꼈는지 드라이버들을 패키지로 업데이트
  10. 서버가 다운 될 정도로 vm을 구동

웹서비스만 하는 서버라고 해서 sql, 윈도우 업데이트만 빼고 모조리 삭제했다.

  1. 언인스톨
  2. 언인스톨이 안되는 것은 해당 폴더 삭제, 서비스 제거, 해당 레지스트리 제거, 해당 AppData 제거
  3. 방화벽을 다시 올리고 불필요한 룰들 제거
  4. 백신 설치하고 풀 스캔과 mrt 전체 검사로 바이러스, 웜, 트로잔 제거
  5. 전용 백신으로 애드웨어, 악성코드 제거
  6. 임시, 캐시 파일 제거
  7. 지꺼기 폴더, 파일 삭제
  8. IPSec으로 인바운드, 아옷바운드 모두 막고 인바운드 tcp 80, 443, 터미널 포트만 허용
  9. 불필요한 서비스 제거 또는 사용 안함으로 설정
  10. Administrator 변경
  11. 관리자 암호, 로컬 보안 정책, 암호, 접속 차단, 잠금 정책 강화
  12. 터미널 포트 변경msconfig, 레지스트리, autorun 등으로 시작 프로그램 정리


이후, 일주일 가량 모니터링을 하는 동안 여전히 로그인 실패가 많았다.
보안 정책이 적절히 작동하고 있으나 해킹됐던 거라 그런지 포기하지 않아 회선사에 의뢰해서 ip를 바꿀 것을 권했다.
vm으로 뭘 했는지 궁금했으나 급하고 여유가 없어 알아보지는 못했다.

댓글목록

등록된 댓글이 없습니다.

Total 23건 1 페이지
유지보수 목록
번호 제목 글쓴이 조회 날짜
23 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 11 10-07
22 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 69 09-04
21 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 60 09-04
20 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 123 08-28
19 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 186 07-03
18 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 205 07-03
17 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 167 07-03
16 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 211 07-03
15 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 163 07-03
14 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 186 06-29
열람중 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 168 06-29
12 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 171 06-29
11 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 178 06-29
10 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 178 06-27
9 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 171 06-26
게시물 검색
TEL : 0707-443-0499
서버, 네트워크, 개발관련 전화문의

Copyright © T8. All rights reserved.