질문을 창피해 하지 마세요. 답변 해주시는 분들을 위해 많은 정보를 입력해 주세요.
지인회사 이야기인데 저도 답변 주다가 막히는 부분이 있어 질문 남겨요.
월 방문자 수가 백만단위인 대형 사이트인데 며칠 전 외부 공격을 받아 사이트 내 콘텐츠가 제대로 보이지 않고 회원들의 로그인에 문제가 생기는 장애가 발생 했습니다. 현재 가까스로 복구하였는데 다시 해커가 들어와 소스코드를 수정하고 구글 애드센스 코드를 심어놓았습니다.
현재는 코드를 수정하고 호스팅 업체에 해결 방안을 문의 하여 연계된 웹방화벽 회사를 통해 조치받아 해결 했으나 조금 전 또 코드가 수정된 흔적을 발견 했네요. 지금은 소스코드를 롤백하여 사이트가 정상작동하지만 완전히 해결 된 것이 아니라서 난감한 상황입니다.
웹서버는 국내 호스팅 서비스를 이용 중이고 웹방화벽 업체 역시 국내 업체 입니다만 호스팅 회사에 연계된 것이라 지인 회사에서 직접적으로 컨택은 어려운 상황입니다.
제가보기엔 웹 방화벽이 뚫린것 같은데..... 질문 드립니다.
1. 해커가 소스코드를 수정했다면 루트 권한이 탈취된 것 아닌가요?
사이트 최상위 경로인 sub.head.php에 구글 애드센스 코드를 심었는데 이를 발견하여 퍼미션 값을 수정해서 지금은
괜찮은 상황입니다만 js 피싱팝업을 설치해 놨습니다. 회원 개인정보 탈취가 목적으로 보이네요.
루트권한이 탈취됐다면 아예 사이트 운영 자체를 방해했을 것 같은데..... 소심한 해커일까요?
2. 호스팅 회사에서는 지인 회사에서 알아서 소스코드를 수정해서 막아야지 자기들이 할 수 있는건 없다고 하는데, 이게 정상인가요?
애초에 호스팅 서버의 웹방화벽이 뚫린게 잘못이고, 호스팅회사가 그 웹방화벽회사와 협의해서 조치를 취해줘야 하는것 아닌가요?
3. 지인 회사에서 자체적으로 취할 수 있는 조치는 무엇이 있을까요?
IP해외트래픽, 대역폭 차단, 루트 패스워드 변경, 호스팅서버를 단독서버로 바꾸고 별도의 전용 웹방화벽 서비스 적용, 호스팅 서비스 변경, 클라우드로 이관....
가장 시급한 것은 전문 보안회사에 의뢰하여 전체적으로 점검받고 조치를 취하는 것이겠죠?
지인 회사라 뭔가 도움을 주고 싶은데 저도 아는게 많이 없어서 답답하네요. 사이트 규모 치고 너무 안일하게 대응해 온 것 같기도 하지만 뭐 별 수 있나요. 다 이렇죠 뭐....
답변 부탁 드립니다.
지인회사 이야기인데 저도 답변 주다가 막히는 부분이 있어 질문 남겨요.
월 방문자 수가 백만단위인 대형 사이트인데 며칠 전 외부 공격을 받아 사이트 내 콘텐츠가 제대로 보이지 않고 회원들의 로그인에 문제가 생기는 장애가 발생 했습니다. 현재 가까스로 복구하였는데 다시 해커가 들어와 소스코드를 수정하고 구글 애드센스 코드를 심어놓았습니다.
현재는 코드를 수정하고 호스팅 업체에 해결 방안을 문의 하여 연계된 웹방화벽 회사를 통해 조치받아 해결 했으나 조금 전 또 코드가 수정된 흔적을 발견 했네요. 지금은 소스코드를 롤백하여 사이트가 정상작동하지만 완전히 해결 된 것이 아니라서 난감한 상황입니다.
웹서버는 국내 호스팅 서비스를 이용 중이고 웹방화벽 업체 역시 국내 업체 입니다만 호스팅 회사에 연계된 것이라 지인 회사에서 직접적으로 컨택은 어려운 상황입니다.
제가보기엔 웹 방화벽이 뚫린것 같은데..... 질문 드립니다.
1. 해커가 소스코드를 수정했다면 루트 권한이 탈취된 것 아닌가요?
사이트 최상위 경로인 sub.head.php에 구글 애드센스 코드를 심었는데 이를 발견하여 퍼미션 값을 수정해서 지금은
괜찮은 상황입니다만 js 피싱팝업을 설치해 놨습니다. 회원 개인정보 탈취가 목적으로 보이네요.
루트권한이 탈취됐다면 아예 사이트 운영 자체를 방해했을 것 같은데..... 소심한 해커일까요?
2. 호스팅 회사에서는 지인 회사에서 알아서 소스코드를 수정해서 막아야지 자기들이 할 수 있는건 없다고 하는데, 이게 정상인가요?
애초에 호스팅 서버의 웹방화벽이 뚫린게 잘못이고, 호스팅회사가 그 웹방화벽회사와 협의해서 조치를 취해줘야 하는것 아닌가요?
3. 지인 회사에서 자체적으로 취할 수 있는 조치는 무엇이 있을까요?
IP해외트래픽, 대역폭 차단, 루트 패스워드 변경, 호스팅서버를 단독서버로 바꾸고 별도의 전용 웹방화벽 서비스 적용, 호스팅 서비스 변경, 클라우드로 이관....
가장 시급한 것은 전문 보안회사에 의뢰하여 전체적으로 점검받고 조치를 취하는 것이겠죠?
지인 회사라 뭔가 도움을 주고 싶은데 저도 아는게 많이 없어서 답답하네요. 사이트 규모 치고 너무 안일하게 대응해 온 것 같기도 하지만 뭐 별 수 있나요. 다 이렇죠 뭐....
답변 부탁 드립니다.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
7개의 답변이 있습니다.
최대한 취약점 보강하구요. IP도 변경하는게 좋습니다.
보통 SQL이나 소스코드에 취약점이 있고요. DB접속에 대한 부분도 강력히 보안해야합니다.
JohnWick | 약 5년 전
특히나, 특정 파일의 코드를 변조하였다는 것은 호스팅 서버의 모든 권한을 획득한 상태로 크게 예상됩니다.
우선 문제가 되는 호스팅 서버는 삭제를 하시고, 웹 취약점 점검 서비스나 소스 코드 점검 도구를 이용하여 전수조사가 필요합니다.
단순히 소스 코드 수정 시 향후 동일 증상이 재발생할 수 있어, 반드시 전수조사가 필요합니다.
한국인터넷진흥원의 웹 취약점 무료 점검 서비스나 국내 유사 업체도 많으니 참고하세요~
JohnWick | 약 5년 전
소스코드가 수정 되었다면 웹쉘이 올라갔을 가능성이 클 것같습니다.
서버를 포맷하고 다시 구축해도 소스코드의 취약점 때문에 다시 웹쉘이 업로드될 가능성이 매우 큽니다.
주로 게시판등에 화일을 첨부 할 수 있는 기능으로 웹쉘이 업로드 됩니다. 웹쉘 업로드 이후에는 웹방화벽을 우회하여 권한을 탈취 할 수 있습니다. (루트 비번 변경, 특정 IP 차단, 서버 포맷 으로 해결이 안됩니다. 취약점을 잡아야합니다.)
PHP 는 취약점이 많은 언어로도 유명하죠. PHP를 사용하는 워드프레스가 구축이 편리하고, 저렴하긴 하지만 취약점이 많은편입니다.
웹쉘 탐지 툴을 사용해 보면 좋겠습니다.
시큐어 코딩 점검도 해보세요. 무료 시큐어 코딩 점검 툴도 있습니다.
호스팅 업체에서 해주는 방어는 네트워크단에서의 패턴에 의한 방어 입니다.
해커는 웹페이지에서 제공하는 적절한 권한, 기능의 취약점을 파고 들었기 때문에 호스팅 업체의 말이 틀렸다고 할 수 없습니다.
갖가지 종류의 보안 툴들이 많이 존재 하는 이유는 웹방화벽 하나로 모든 공격을 차단 할 수 없다는거죠.
한그루 | 약 5년 전
JohnWick | 약 5년 전
JohnWick | 약 5년 전
저 정도 상황이라면 일단 서버를 내려야 하는 게 아닐까요..?
코드를 수정할 정도라면 최소한 수정 권한을 가진 계정의 암호가 뚫린것 같은데...
어설프게 임시 조치만 하고 있다간 더 큰 공격이 들어올 것 같다는 생각이 드는데요.
외부에서 접속을 하지 못하게 완전히 차단 시킨 후에 원인 파악 및 조치를 취한 후에 다시 서비스를 오픈하는게 맞을 것 같다는 생각이 드네요.
wansoo | 약 5년 전
JohnWick | 약 5년 전
일단 에드센스만이라도 차단하시고..
구글쪽에 해당 계정을 신고하는 것도 고려해보세요..
JohnWick | 약 5년 전
보안취약점을 찾아보는 것이 맞고 파일수정이 발생한 사유가 뭔지를 로그를 통해 찾는게 우선이지 싶습니다. 어느 유저가 어느 아이피에서 어떤 명령어로 수정했는지 조차 알수가 없는데요.
해당 사이트 운영하는 프로그램 코드 작성부서에서 원인을 같이 찾아보는게 맞을듯 합니다. 인프라 담당자랑요
미생 | 약 5년 전
JohnWick | 약 5년 전