X-Y.NET 해킹으로부터 서버 정상화 및 안정화 작업, 보안 강화작업 안내 (3/16) > 소식통

본문 바로가기
사이트 내 전체검색

소식통

X-Y.NET 해킹으로부터 서버 정상화 및 안정화 작업, 보안 강화작업 안내 (3/16)

페이지 정보

작성자 아이웹스쿨넷 댓글 0건 조회 57회 작성일 19-04-05 05:24

본문

웹호스팅 업체 X-Y.NET 이 일부서버 해킹으로 인하여 지난 2/22일부터 3/16일까지 해킹으로부터 복구 및 보안 강화작업을 하였다.


------------------------------------------------------------------------------

2/25일 게시글


22일 오후에 해킹시도 들어와 9~10시경 복구되었으나 

디비, mysql 쪽으로 해킹이 들어온거라 방화벽을 설치하고 있습니다.

현재까지도 해킹시도가 있어 계속 막고 있으며, 더 이상의 손실을 막기위해 최선을 다하고 있습니다.

해킹 시도로 인해 보안 방화벽을 새로 설치하였으며, 

이 과정에서 침입탐지 자동차단, 스팸등 특정 키워드 차단 등이 새로 도입이 되었습니다.

보통 웹쉘 공격에 iframe, meta 등 테그가 사용되구요, 글 작성시 자바스크립트를 사용하셔도 해커는 이를 이용해 웹쉘 공격을 할 수 있습니다.

만약, 업로드가 안될 경우 위 두가지 참조하시어 글을 다시 작성해 보시면 될 것같습니다.현재 cgi 통계분석표 오류가 날 수있음을 알려드립니다.

해킹시도 멈출때까지 게시판이용에 제한이 될 수 있음을 너그러운 마음으로 양해바랍니다(더이상의 손실을 막기위한 방법입니다)

번거로우시더라도 고객님께서도 자료백업받아놓으시기 바랍니다.

-----------------------------------------------------------------------------

3/16일 게시글


거의 밤샘작업을 통하여 복구작업을 하였습니다.


그럼에도 불구하고, 신속한 복구가 진행되지 못하여 고객님께 불편을 드린 점


다시한번 머리숙여 사과드리며 양해의 말씀 올립니다.



1. 복구작업


서버의 대부분 자료를 복구하였습니다.


다만 파일이 없는 경우, 계정 해킹으로 변조된 경우가 많습니다.


자료 유실이 있으신 분께서는 고객상담에 글을 올려주시면 처리해 드리도록 하겠습니다.


다만, 보안 강화작업 때문에, 파일이 있어도 정상 동작하지 않는 부분이 많습니다.


이는 복구에 시간이 걸리오며 그누보드, 워드프레스 등 업데이트가 가능한 솔루션은


업데이트를 지속적으로 하시는 것이 보안에 도움이 됩니다. (취약점 해결 등)


다만, 해당 솔루션의 플러그인 들이 문제인데요, 본 솔루션과 플러그인의 호환성을


반드시 확인하시어 업데이트 부탁드립니다. 이때 PHP 버전이 맞지 않는 경우


(높은 PHP 버젼을 요구하는 경우) 무료로 높은 PHP 버전의 서버로 이전시켜 드립니다.


2. 보안 강화작업


1) 웹쉘을 통한 계정 탈취 및 변조, 해킹 게이트웨이로의 탐지를 막기위해, 


웹쉘 제거 솔루션인 휘슬 및 웹방화벽인 캐슬을 한국 인터넷 진흥원 보호나라의 협조로


전 서버에 설치하였습니다.


휘슬은 자료실 등에 해커가 올린 웹쉘 프로그램을 탐지하여 제거하고,


캐슬은 xss 공격, sql injection 공격, 게시물 스팸 등을 막아줍니다.


이때문에 게시판 글쓰기, 그누보드 관리자 설정 변경 등에 영향을 줍니다.


이에 저희는 whitelist 를 제작하여 해당 IP 혹은 해당 도메인에 whitelist 를


적용시켜 드릴 수 있게 되었습니다.


다만, whitelist 에는 공통자료실(누구나 와서 자료를 올릴 수 있는) 이 있는


계정에 적용시켜드리지는 못합니다. IP 의 경우 관리자가 주로 사용하는 경우이며


IP의 경우 계정당 1 IP를 등록시켜 드릴 수 있습니다.


2) 

현재 보안강화를 위해 막아놓은 함수 목록입니다.

exec,shell_exec,passthru,system,

show_source,proc_open,pcntl_exec,eval,assert


다음주 중 결제 관련 안되시는 분들 중에 exec 함수에 관해서만 해킹 관련 서약을 받고풀어드릴 수 있을 것 같습니다.


막아놓은 함수에 미치는 영향은 현재 알려져 있기로 쇼핑몰 전자결제 시스템으로,


웹표준이 아닌 시스템의 실행파일을 실행하여 통신하는 전자결제입니다.


exec 함수를 호출하여 실행파일을 인자(옵션)를 추가하여 실행해 전자결제 본 서버와


통신을 하게 됩니다.


exec 함수는 서버 내 프로그램을 실행하는 함수로, 이를 자료실에서 업로드된 해킹관련


프로그램을 실행하게 되면 해킹시도가 됩니다.


3)현재 중국 러시아 등 해킹에 위험이 있는 아이피(국가 단위 아이피)는 차단이 되어 있는 상태입니다.


현재 저희 서비스 아이피 대역으로 지속적인 해킹시도가 있어 부득이하게 아이피를 차단하고 있습니다.


현재 해외 위험 아이피(중국, 러시아등 위험지역 아이피)는 접속차단을 지속할 계획에 있습니다.


(받는메일서버 중국, 홍콩, 러시아 쪽 막힐 수 있으니, 포털(gmail..)이용바랍니다.



3. 서버 안정화 작업


서버의 환경이 급격히 변화하여 작동이 되지 않는 경우, 최대한 연구하여


시스템의 영향을 최소화 하는 방법을 찾고있습니다.


일단 화이트리스트, exec 실행권한의 계정별 허용 등은 임시방편의 방법인 것 같고요,


아울러 웹서버 모듈로 작동하는 방화벽 또한 설치 예정입니다.


그리고 점차적으로 익숙한 환경을 만들어 서버 안정화를 꾀할 예정입니다.


그동안 해킹을 막기위해 몇몇 함수비허용, 필터링을 통해 불편을 드린점.. 


부디 양해를 부탁드리오며,


저희 역시 보다 보안쪽의 연구를 거듭하겠사오니, 고객님들 또한 솔루션 업데이트,


웹표준결제 이용 등 보안 강화에 조금의 관심을 더 기울여 주실것을 부탁드립니다.


[ 출처 : X-Y.NET 공지사항 ]

댓글목록

등록된 댓글이 없습니다.

  • 게시물이 없습니다.

회원로그인

접속자집계

오늘
76
어제
156
최대
304
전체
24,857

그누보드5
Copyright © iwebschool.net All rights reserved.