최근 본교 연구실에서 운영중인 일부 리눅스 서버에서 악성코드 감염이 확인 되었습니다.
서버를 운영하는 연구실 서버 담당자께서는 아래를 참조하여 피해 예방을 위해 노력해 주시기 바랍니다.
- 아 래 -
1. 협조사항
가. 연구실 서버에서 아래 악성코드 감염 증상여부 확인
나. 유사 감염 증상 확인시 조치방법에 따라 이행
2. 악성코드 감염된 리눅스 서버의 증상
가. CPU 사용량이 99% 이상 지속되는 현상
나. CPU 과점유 프로세스가 확인되지 않는 현상
다. netstat 명령어 확인 시, 외부IP와 TCP 90/443/3333 통신 연결 확인
라. Lan 케이블을 뽑으면 CPU 사용량이 정상 수치로 환원되는 현상
3. 감염여부 자가점검 방법
연번 | 점검 항목 | 명령어 | 확인 사항 |
1 | 의심 접속기록 확인 | last -F | 관리 단말(PC) 외 다른 IP에서 접속한 기록이 있는지 확인 |
2 | 비인가 계정 확인 | cat /etc/passwd | 관리자가 생성하지 않은 uid 0인 계정 유무 확인 |
3 | 네트워크 상태 확인 | netstat -an | 사용하지 않는 IP, Port로 통신하는지 확인 |
4 | 시스템 파일 변조 확인 | ls -alct (/bin 또는 /usr/bin 폴더) | 관리자가 변경하지 않았으나 최근 변경된 OS 기본프로그램이 있는지 확인 |
4. 조치방법
구분 | 조치 사항 |
임시 조치 (데이터 백업 필요 시) | 1. 서버 방화벽(IPTABLE 기능 등)에서 접속하는 단말기 IP만 접속 허용하고 그 외 통신은 모두 차단 적용 2. 감염 증상이 위와 동일할 경우 서버 방화벽 권고 정책(순서대로 적용) 가. [차단] 서버 IP → ANY IP : 80/443/3333 Drop 나. [허용] 접근 허용 IP → 서버 IP : 접속 시 사용하는 포트 Allow 다. [차단] ANY IP → 서버 IP : ANY Port Drop ※ 접근 허용 IP : 연구실에서 서버 접속하는 단말기, 기타 통신이 필요한 IP |
권고 조치 | 1. 침해 발생한 서버의 재구축 2. 재구축 순서 : 데이터 백업 → OS 재설치 → 보안설정 적용 → 서버 재구성 ※ [참고] 서버 보안설정 가이드 : https://url.kr/r6yjtk |