그들은 내 VPS를 해킹하고 루트 비밀번호를 변경했습니다. 운 좋게도 공급자가 나를 위해 재설정했고 이제 다시 제어할 수 있게 되었습니다.
이제 나는 그들이 내가 알지 못하는 서비스나 서비스를 설치하지 않았는지 확인하고 싶습니다(예: 불법 다운로드/업로드 등에 사용).
내 서버를 깨끗하게 유지할 수 있는 도구나 방법이 있습니까? 처음부터 다시 설치하는 것을 피하고 싶습니다.
답변1
아니요. 재설치만큼 간단하지도 않습니다.
어쨌든, 진입점이 무엇인지 알아내는 데 시간을 좀 투자하세요. 하지만 지금 당장 이 설치는 위험한 쓰레기입니다. 다음 가능성을 고려해야 합니다.
도난당한 데이터: 이제 사용 가능한 서비스(예: 웹 애플리케이션)에 대한 비밀번호가 있습니까? 많은 수의 비밀번호를 재설정해야 할 수도 있으며 (중요하게) 개인 데이터 및/또는 로그인 자격 증명을 보유하고 있는 경우 사람들에게 알려야 할 수도 있습니다.
파일에 액세스: 파일을 다시 설치하고 복사하는 것만으로는 충분하지 않습니다. 귀하의 파일이 귀하의 파일인지 확인해야합니다. 매우 일반적인 해킹 관행은 네트워크 파일에 코드를 삽입하는 것입니다(해커를 광고하고 방문자를 봇넷에 감염시키기 위해). 서버에서 나오는 데이터를 믿을 수 없습니다. 그렇기 때문에 우리는 버전 제어를 사용하고 프로덕션 서버에서 쓰기를 허용하지 않습니다. 그렇지 않습니까?
또 무슨 일이 일어났나요?사용자 추가, 그룹 변경, 서비스 추가,오염된제공하다('윈디고 작전'이 사용한 것처럼)...당신은 이 서버에서 무슨 일이 일어나고 있는지 모릅니다. 법의학적으로 분해할 수도 있지만 그렇게 하면 추가 공격에 취약해지고 몇 주가 걸릴 수 있습니다.
즉, 새 서버를 구축해야 하고, 파일의 안전한 복사본을 복원해야 하며, 모든 데이터베이스 데이터를 검토하고 면밀히 조사하여 추가 액세스 경로에 빠지지 않았는지 확인해야 합니다. 아, 그리고 귀하가 보유하고 있는 데이터의 소유자와 사용자에게 이를 알려야 합니다.
이 질문에 대한 귀하의 의견과 지금까지의 경험을 읽은 후에는 다음 발전을 위해 서버를 설정하고 유지 관리할 경험이 있는 사람을 고용하는 것이 가치가 있을 것입니다. 이것들은 배울 수 있는 것이기도 하지만 유지해야 하는 것이기도 합니다.
서버에 대해 "실행 후 잊어버리는" 접근 방식을 취하는 것은 매우 위험합니다.