어제 유저의 pc가 랜섬웨어에 최초 감염이 되었습니다.
그리고 공유폴더가 열려있는 윈도우 웹서버에 네트워크를 통해서 감염이 된것으로 추정하고 있습니다.
(서버 재설치 하고 복원하느라 어제 아침부터 오늘 새벽까지 꼴딱 밤을 샜네요ㅠㅠ)
그런데 앞으로 이런 일을 예방하고자 웹서버의 공유폴더를 다른 방법으로 변경하고 싶은데
어떻게 하면 좋을지 조언을 구하고 싶습니다.
공유폴더를 열었던 이유는 웹어플리케이션을 수정 후 업데이트를 할때 윈도우 탐색기로 공유폴더를 열어서 업데이트 하고 있었거든요.
그래서 네트워크 드라이브로 연결해서 쓰면 괜찮을련지
혹은 FTP 등 다른 방법 조언 부탁드릴게요.
그리고 공유폴더가 열려있는 윈도우 웹서버에 네트워크를 통해서 감염이 된것으로 추정하고 있습니다.
(서버 재설치 하고 복원하느라 어제 아침부터 오늘 새벽까지 꼴딱 밤을 샜네요ㅠㅠ)
그런데 앞으로 이런 일을 예방하고자 웹서버의 공유폴더를 다른 방법으로 변경하고 싶은데
어떻게 하면 좋을지 조언을 구하고 싶습니다.
공유폴더를 열었던 이유는 웹어플리케이션을 수정 후 업데이트를 할때 윈도우 탐색기로 공유폴더를 열어서 업데이트 하고 있었거든요.
그래서 네트워크 드라이브로 연결해서 쓰면 괜찮을련지
혹은 FTP 등 다른 방법 조언 부탁드릴게요.
14개의 답변이 있습니다.
제가 작성했던 https://www.sharedit.co.kr/posts/2456 글이 여러분들에게 도움이 되신다니 기분이 좋습니다.
자체 OS가 탑재된 NAS 를 추천 드리는 이유는, Windows 의 경우 알려진 보안 취약점이 많다는 것입니다.
혹시 파일 서버에 스토리지가 연결되어 있다면, 스토리지 자체 스냅샷 기능을 활성화 하십시요.
파일 버전 관리를 하시겠다면, 백업도 중요하겠구요. 좀 한방에 빡~~~ 되는 그런것이 있다면 좋겠지만
당분간은 백업+스냅샷 정도가 랜섬웨어 방어에 효과적이지 않을까 생각됩니다.
jhy258 | 6년 이하 전
kimgug | 6년 이하 전
서버의 공유 폴더가 작살 났습니다. 그리고 NAS도 오픈 된 것은 전부 감염.
다행인것은 서버에 USB 외장 하드를 백업용으로 2개 붙였는데
이건 공유 하지않고 스케줄러를 이용해서 순수 백업만 매일 오전 오후 나누어 한 것 떄문에
생각 만큼 큰일은 생기지 않았습니다. 자료만 반나절치 손실.
작년 연말 크리스마스, 새해 전부 반납 하고 내 회사도 아닌 친구 회사에 가서
ㅈㄹㅂㄱ 한 기억 땜에 님이 서버 뽕 맞았다고 하는 글을 보는 순간
뚜껑이 팍 열렸습니다.
결론은 아무리 백신 할아버지가 있어도 감염을 완전히 막을 수는 없지만
만에 하나 감염 되어도 백업만이 살길 입니다.
wansoo | 6년 이하 전
jhy258 | 6년 이하 전
랜섬웨어에는 백업밖에 답이 없는것 같아요...ㅠㅠ
jhy258 | 6년 이하 전
jhy258 | 6년 이하 전
기술적인 조치는 이미 많은 회원분들이 답변 달아 주셔서 제가 더 드릴 말씀은 없는 것 같고,
앞으로의 대응 차원에서 사내 임직원 대상 보안교육 및 모의 테스트를 해 보시면 어떨까 싶습니다.
https://www.sharedit.co.kr/freeboards/20804
이 글 참고하시면 좋을 것 같아요.
jhy258 | 6년 이하 전
NAS를 구매해서 오픈하시고, 계정별 부서별로 권한 조정하셔서 타팀에 피해 안가게 셋팅하시길...
그리고 백업말고는 노답인것 같아요. 검출 솔루션도 결국 최신 랜섬웨어을 못피하는걸로 보여요
jhy258 | 6년 이하 전
좋은글이 있네요 ^^
jhy258 | 6년 이하 전
jhy258 | 6년 이하 전
jhy258 | 6년 이하 전
공유는 별도의 계정을 통한 권한 할당이 필수지요. 될 수 있는데로 계정을 생성해서 읽기 권한만 주세요.
jhy258 | 6년 이하 전
jhy258 | 6년 이하 전
제 경험으로 말씀 드리면..
공유권한을 Everyone 읽기/쓰기 권한만 아니면 암호화 되지 않습니다.
업데이트하는 개발자가 정해져 있으실텐데 그분들만 권한을 넣어 주시면 되요.
왜 그런지는 모르겠는데..
A라는 서버의 공유 폴더에 B라는 사용자의 권한을 넣어 주고
B가 랜섬웨어가 걸렸을때.. B의 사용자의 권한이 들어가 있는데도 A 서버의 공유폴더에 암호화 되지는 않았습니다.
Everyone으로 공유를 다 풀어놨을때만 암호화가 되었습니다.
저희는 인원이 꽤 되서 공유도 제한을 걸고 있는데 공유 허용시 안내하는게 Everyone 권한 해제입니다.
* 아참.. 딱한번 있었는데.. PC에서 네트워크 드라이브로 연결해서 사용하면 그 폴더는 암호화 되더군요.
추가로 윈도우 서버일 경우 볼륨 섀도우 복사 설정 해두면.. 랜섬웨어 걱정을 많이 덜수 있습니다.
저희 같은 경우는
왠만한 파일서버나 어플리케이션 서버는 전부 가상화 되어있기 때문에
1. 가상화 : 가상화 백업
2. 위에 말한 볼륨 스냅샷(VM내부 설정, 매일 1회)
3. 공유 권한에 Everyone 제거
위 세가지로 서버의 암호화는 피해가 없었거나 전부 복구했습니다.
어플리케이션 서버만 100대 이상이고 파일서버도 20대 이상 운영중입니다.
jhy258 | 6년 이하 전
낭만생선 | 6년 이하 전
네트워크 드라이브나 공유 폴더나 똑 같죠~
컴퓨터에 랜섬웨어가 감염되면 그 컴퓨터에서 쓰기 권한으로 접근 가능한 모든 디렉토리들이 감염될 수 있다고 보면 됩니다.
FTP로 접근해서 사용한다면 랜섬웨어로 인한 피해는 막을 수 있을 겁니다.
FTP가 파일 송수신을 위한 프로토콜이다 보니 프로그램이 직접 접근해서 암호화 시키지는 못하죠.
만약 랜섬웨어가 FTP까지 고려해서 설계된다면 File들은 다운 받은 후에 암호화 시켜서 다시 전송 시키는 방법으로 피해를 줄 수도 있겠지만 FTP 서버의 id, password를 알아야하거나 계속적으로 FTP 서버에 접속 가능하도록 연결되어 있어야 가능한 하능 상황이겠죠.
필요할 때마다 FTP로 접속해서 File을 다운 받아 사용하고 지우는 형태로 사용한다면 FTP를 통한 사용도 랜섬웨어로 인한 피해를 막을 수 있는 방법이겠지만, 특수한 용도로 사용하지 않는다면 사용에 불편함이 있을 거라 생각되고요.
서버의 공유 폴더를 사용자들별로 권한을 설정해서 접근 가능한 디렉토리를 분리 시켜 두는 것이 피해를 최소화할 수 있는 방법이라 생각되고요.
공유 폴더를 계속 적으로 연결해두고 사용하는 방식 보다는 필요할때 id, password 입력하여 연결해서 사용하고, 사용이 끝난 후에는 연결을 끊어 버리는 형태도 피해를 줄일 수 있는 방법일 거 같고요.
피해를 최소화 할수는 있어도 피해를 완전히 피해가기는 어려울 수 있기 때문에 피해를 입더라도 복구할 수 있도록 백업을 잘 받아 두는게 최선이라 생각되네요.
백업이 있다면 암호화된 공유 폴더 내용들을 모두 제거해 버리고, 백업 받아둔 자료를 넣어 줘버리면 복구도 간단하게 할 수 있겠고요.
jhy258 | 6년 이하 전
주기적인 업데이트가 발생하는걸 고려하시되 안전하게 갈 방법은 일단 smb형태의 상시공유 연결형태가 아닌 FTP연결로 필요할때 필요한 파일만 변경되는 형태로 유지하시는게 좋지 않을까 싶습니다.
Web App 수정을 말씀하시면 svn이나 git등으로 버전관리를 하시는게 더 좋아보이기도 합니다만..
jhy258 | 6년 이하 전