우분투 서버가 해킹당했습니다.
2010.09.11 10:43
안녕하세요 비졀입니다.
어제.. 잘 접속되던 cafe24 가상웹서버 호스팅의 우분투 서버로 ssh 접속이
root로 되질 않는겁니다.
뭘까.. -_-a 하다가 문의해보니 털렸다고 합니다.
좀 패닉 상태에 빠져준 후..
다시 os재설치 해달라고 하고 지금 어떻게 해야 할까.. 하는 중입니다.
제가 설치한것은 apache와 python 그리고 Django 라는 웹 프레임워크입니다.
제 친구는 제 암호가 너무 쉬워서 dic 어쩌구에 털렸다고 합니다.(확신은 못하는 상태입니다)
그래서 질문입니다.
해킹을 방지하기 위해 깔아두면 좋은 패키지가 있나요?
upgrade와 update는 지속적으로 계속 해왔습니다.
지금만드는 페이지가 정식 릴리즈를 할 필요가 있는 페이지이기 때문에 지금 좀 고민입니다.
어떻게 해야 좋을까요 ㅠㅠ?
코멘트 9
-
조일권
09.11 10:57
-
정말 감사합니다.
하지만 제가 보안이나 서버에 관해서는 거의 문외한에 가깝습니다.
그냥 사설 계정을 사고 싶지만 Django라는 웹 프레임워크를 사용해야 하는 상황인데 국내 웹호스팅 업체는
Django를 지원하지 않는 실정이라 서버를 제가 직접 root권할을 가져 이용할수 있었어야 했습니다.
죄송하지만 쪽지나 댓글로 조금 더 설명해주실 수 있나요?
-
조일권
09.11 12:42
저도 보안관련 문외한입니다. 다만 하도 털리다 보니 업체쪽에서 이거 해봐러 저거 해봐라 해서 그냥 좀 알게 된 사실을 적어둔거라서;;
게다가 제가 해왔던 서버는 모두 윈서버 계열이라서 리룩스계열은 ....;;
다만 우분투에서도 이걸 할 수 있나 확인 해보시는게 좋을 것 같습니다.
1. 윈서버에서는 기본 최고 레벨 ID는 administrator 입니다. 우분투는 뭔지는 모르겠지만 하나 정도는 있겠지요.
그 ID를 변경하시는겁니다. administrator 를 asldkjflask 이렇게 말이죠.
물론 암호는 20자리 이상 특수문자, 대소문자, 숫자 3개는 꼭 넣어주세요.
2. 포트 변경.
원격 접속 포트는 보통 3389를 사용합니다. 이걸 다른 거꾸로 9833 이라든가 맘에 드는 포트 숫자로 변경을 해주세요.
Microsoft SQL SERVER는 1433,1444 를 사용합니다. 이걸 전 다른 숫자로 변경 했습니다.
DB를 뭘 사용하시는지는 모르겠지만 아마 해당 DB도 그 포트 숫자를 변경 할 수 있는지 확인해보시고...
만약 오픈할 서비스 및 서버에서 DB 사용을 로컬로만 하신다면 원격 접속 허용 같은 옵션이 있는지도 검색해보시는것도 좋을것 같습니다.
한마디로 포트 변경인데 이게 참 중요합니다.. 리룩스도 포트변경으로 한번 검색 해보시는게 좋을것 같네요.
3. 홈페이지 코딩.
예전에 대표적으로 많이 언급된게 SQL 인젝션(영어 스펠링이 좀..;;) 공격 떄문에 해당 웹 프레임워크에서도 가이드라인을 제시한 코드 예제가 있을 것입니다.
뭐 요즘 방화벽이라든가 웹 소프트웨어 방화벽에서 필터링을 해주긴 하지만 근본적으로는 소스코드를 수정하는게 제일 좋습니다.
참 웹 방화벽은 웹나이트(WebKnight)라고 윈서버에서 사용 할 수 있는 무료 웹 방화벽이 있습니다. 사이트에 들어오는 불건전한 것을 필터링 해주는데 나름 좋습니다. 이거 설치하고 로깅 쌓이는걸 보면 아 방화벽 한대 사고 싶다.... 라는 충동이 마구 일어납니다
제가 서비스를 받고 있는 IDC업체도 예전에는 방화벽이 없었다가 (이때 로깅 엄청 쌓였습니다.) 기본적인 수준의 방화벽 추가하니 로깅 쌓이는 수준이 거진 90%이상 없어졌습니다.
아마 리룩스쪽도 있을 것 같은데 기억이 잘;;;
윈서버 계열에서 경험했던 거 위주로 적어놨는데... ^^;;
도움이 되셨느지 모르겠네요.. 그럼.
-
조일권
09.11 12:44
아! 하나더 만약 중국 쪽으로 서비스 할 일 없다 그러면 아예 중국 대역 IP를 전부 차단해보세요.
전에 이거 검색하니깐 리룩스는 참 쉽게 하던데....ㅡㅡ;;;;
-
타스케
09.12 02:00
sql injection 등은 django 프레임워크 자체에서 막아주기 때문에(최신으로 종종 업데이트를..) 다른 부분을 먼저 고민해 보세요!
보안.. 어렵습니다 ㅠㅠ
-
cpdaisy
09.12 04:18
남자친구의 말로는 ssh 포트만 바꿔도 90%는 막아진다고 하네요
우분트도 리눅스니까 ssh설정은 /etc/sshd에 있을거라고 하니 해당 디렉토리의 설정파일을 변경해 보라고 합니다
그리고 /etc/hosts.deny 파일에 중국쪽 ip나 클래스를 등록만 하면 거의 99%는 막아진다고 합니다.
설정방법이나 기타 자료는 구글만 뒤져도 많이 나온다고 하네요..
-
모두들 감사합니다. 이놈의 중국이 문제네요 -_-;
일단 중국 아이피들 다 차단하고 시작해야겠습니다..
암호는 숫자 영문자 특수문자 해서 20자리로 설정했습니다 -_+
-
꽤나 예전에 유럽 어느 대학교에서의 서버관리 팁으로 "한국쪽 IP를 차단하라" 라고 올라와있는걸 봐와서... 중국한테 뭐라고 하지 못하겠더군요. ;;;
-
제 경우에도 ssh포트변경 geoip를 이용한 중국 IP차단만으로 엄청난 효과를 봤습니다.
지금의 심정 많이 동감이 갑니다.
전 윈2003 서버 였는데 나름 백신 프로그램과 보안 업데이트는 꾸준히 해왔는데도 불구하고 정기적?으로 털리더군요..ㅡㅡ;;
그래서 조치를 취한 내용이 크게 3개 였습니다.
첫째.가장 의심이 되었던게 거래처에서 의탁해온 ASP용 홈페이지였습니다.
이게 보안 처리안된 코드로 만들어져 있어서 거래처에 공지문 뛰우고 외부 호스팅으로 다 옮겼습니다.
실제로 호스팅을 중지하니 트래픽 감소가 눈에 확 들어오더군요. 뭔가 파일을 호스팅했었나보더군요.
둘째. 암호를 바꾸었습니다.
물론 털릴때마다 바꾸긴했지만 이젠 20자리 넘어가고 특수문자, 숫자, 대소문자 다들어가도록 해놨습니다.
셋째. 정규 포트를 바꾸었습니다.
어쩔수 없는 80 포트 같은 걸 제외한 나머지 원격관리, DB 포트등 다 바꿔버렸습니다.
즉 말이 길었지만 기본적인것 부터 다시 한번 점검을 해보시는게 좋을 것 같습니다.
전반적인 사용하는 암호와 만든 프로그램이 기본적인 보안 코딩이 되어 있는지말이죠.