안녕하세요. 회사에서 전산관리를 담당하고 있습니다.
회사 NAS 로그를 확인하는 중에 새벽시간에 내부망 L2스위치IP(192.168.200.1)주소로 NAS FTP 서비스 ADMIN 계정으로 로그인 한 기록이 있어서 해킹이 의심되어 문의드립니다. 해킹 시도가 맞는 것인지? 어떻게 대처해아 하는 것인지 문의 드립니다.
회사 NAS 로그를 확인하는 중에 새벽시간에 내부망 L2스위치IP(192.168.200.1)주소로 NAS FTP 서비스 ADMIN 계정으로 로그인 한 기록이 있어서 해킹이 의심되어 문의드립니다. 해킹 시도가 맞는 것인지? 어떻게 대처해아 하는 것인지 문의 드립니다.
2019-06-12
|
0:17:18
|
정보
|
RackStation
|
admin
|
Connection
|
FTP client [admin] from [192.168.200.1] logged out the server with totally [101 bytes] uploaded and [0 bytes] downloaded.
|
2019-06-12
|
0:17:17
|
정보
|
RackStation
|
admin
|
Connection
|
User [admin] from [192.168.200.1] logged in successfully via [FTP].
|
2019-06-12
|
0:00:19
|
정보
|
RackStation
|
admin
|
Connection
|
User [admin] from [192.168.200.1] logged in successfully via [FTP].
|
2019-06-12
|
0:00:19
|
정보
|
RackStation
|
admin
|
Connection
|
FTP client [admin] from [192.168.200.1] logged out the server with totally [ 130.84 KB] uploaded and [0 bytes] downloaded.
|
2019-06-11
|
18:47:29
|
정보
|
RackStation
|
admin
|
Connection
|
User [admin] from [192.168.200.1] logged in successfully via [FTP].
|
5개의 답변이 있습니다.
내부적으로만 사용했는데도 이런 문제가 생길줄은 몰랐습니다.
저 Log가 도는 자정즈임에 활성화되는지 확인해보셔야겠네요
그리고, 매일 또는 주단위로 특정 로그가 반복된다면
스케쥴된 어떤 설정이 도는것이라고 봐야겟지요.
우선은 찜찜하니 Admin 패스워드를 변경하는것도 방법이겠네요.
NAS에 접속 IP 정보나 FTP로 접속 후 업로드된 파일 형태가 무엇인지 확인해보시고
바이러스 체크 해보세요
그리고 새벽에 스케줄링이 걸려있는게 있는지 update가 있는지도 확인 해보시구요
해킹은 telnet이나 ssh등으로 접속하지 싶은데...
일단, 192.168.200.1 장비가 무엇인지, 해당 장비 내에 설정된 스케줄러 등을 확인해 보셔야 할 것 같고요.
그리고, admin으로 로긴해서 130.84KB 용량을 업로드한 내용이 있는데, 이 file(들)이 무엇인지를 보셔야 할 것 같네요.
악성 스크립트를 ftp로 전송 시켜서 실행되게 만들어 시스템을 장악하는 경우도 있기 때문에, 전송된 file이 백업 대상의 file들인지 아니면 악성 코드에 해당하는지를 조사해 보셔야 할 것 같네요.