안녕하세요. 이호스트IDC 사업부 입니다.
서버호스팅을 통해서 리눅스 서버를 운영하는 한 업체의 사례입니다.
근래 서버에서 이상 증상이 나타나고,
원인을 파악하기 위해서 로그를 분석해 보면,
로그파일이 사라지고 없는 경우도 발견되었다고 합니다.
나름대로 원인을 찾아본 결과 DDoS 공격을 위한 파일이나
기타 바이러스 감염 가능성에 착안하게 되었습니다.
이 회사가 서버호스팅을 사용하는 것은
웹 서버를 운영할 목적으로 사용하는 서버였으며, Samba 를 사용하는 파일서버의 기능은 사용하고 있지 않았기에, 인터넷을 통해 이스캔 (eScan for Linux desktop) 이라는 제품을 다운받아 설치하였습니다.
설치한 후 콘솔에서
escan /home
이라고 입력하면, /home 폴더 하위의 모든 폴더와 파일을 대상으로 바이러스 검사를 수행하게 됩니다.
그런데, 아래와 같이 중단되는 증상이 나타났습니다.
Scan cancelled before completion... 즉, 바이러스 검사를 하기 전에 중단되었다는 의미이지요.
원인을 알 수 없어 eScan Korea에 문의하여 원격지원을 받게 되었습니다
기술지원팀의 분석결과, 메모리 상주 프로그램 중에 하나가 프로그램의 정상적인 실행을 방해하고 있다는 것을 확인하게 되었습니다.
일부 바이러스 프로그램들은 이와 같이 바이러스 백신 프로그램의 실행을 차단하기도 한다는 것이지요.
우선은 메모리 스캔 옵션을 끄고 검색을 수행하였습니다.
실행이 완료되고, 메모리에 상주하여 실행되고 있는 프로세스를 점검하기 위해 ps 명령을 실행하는데 작동이 되지 않습니다.
앗.. netstat 를 실행해 봅니다.. 여전히 작동되지 않습니다.
/var/MicroWorld/var/quarantine/escan/ 폴더에 들어가 보니..
실행되지 않던 실행파일들이 여기로 와 있군요. 바이러스에 감염된 것으로 확인되어 격리 처리된 것이지요.
즉시 치료할 수 있는 것은 치료하지만, 치료가 곤란하고 지워서는 안되는 파일들은
이 폴더에 확장자를 변경하여 실행이 되지 않도록 처리한 후 격리시켜 보관하게 되는 것입니다.
역시, 이 리눅스 서버는 바이러스 감염상태가 확실하였고,
사용자가 증상을 느낄 만큼 시간이 지연되었기에,
아마 웹 서버를 통해 접속하는 수많은 사용자 컴퓨터에도 바이러스를 유포하였을 것으로 생각됩니다.
위와 같은 경우, 감염된 것으로 확인되는 실행파일은 감염되지 않은 깨끗한 파일로 교체하여야 할 것입니다.
일단 스캐닝이 끝났다면, 메모리 상주 프로그램이 더 이상 작동하지 않도록 시스템을 재시작한 후 다시 검사를 해 보는 것이 좋겠지요.
그래도 해결되지 않는다면, 원격지원을 요청하는 것이 좋겠습니다.
상당한 시간을 들여 시스템을 점검해 주는 개발사 기술지원팀의 노력이 감사합니다.
어떤 바이러스였는지, 또한 그 바이러스가 어떤 영향을 미치는 지도 같이 정리해 드리고 싶습니다만,
가지고 있는 그림이 최초 오류 화면 뿐이라 안타깝습니다.
호스팅 서비스를 이용하시건, 자체 서버를 운영하시건, 웹 서버를 통해 홈페이지를 운영하는 이러한 서버가 바이러스에 감염되면,
해당 서버 자체도 위와 같이 손상을 입어 정상적인 구동이 어려워지는 것도 문제지만,
그 서버에서 운영되고 있는 홈페이지에 방문하는 수많은 네티즌 들의 컴퓨터도 공격을 받게 됩니다.
리눅스에도 바이러스가 존재합니다.
비록 100% 방어를 장담할 수는 없는 것이 바이러스와 백신의 전쟁이라고 하지만,
깨끗한 환경을 유지하기 위한 최소한의 노력은 해야 할 것입니다.
보다 안정적인 국내/해외서버를 원하시면 정답은 이호스트데이터센터에 있습니다.
국내(한국) 서버호스팅 | 일본 서버호스팅 |
○ Intel® Xeon® Octa Core E5-2670 x 2CPU 24GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps |
○ Intel Xeon Quad Core L5520 x 2CPU (센다이) 24GB DDR RAM , 1TB SATA3 HDD 구성 |
○ Intel® Xeon® Quad Core L5520 x 2CPU 24GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps |
○ Intel Xeon Quad Core E3-1260L 2.40 GHz (도쿄) 8GB DDR RAM , 1TB SATA3 , 15Mbps |
○ Intel® Xeon® Quad Core E3 1230 8GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps |
○ Intel Xeon Hexa(Six) Core L5640 x 2CPU (센다이) 24GB DDR RAM , 1TB SATA3 HDD 구성 |
국내 코로케이션 | 일본 서버호스팅의 필수 보안서비스 |
1U 80,000원 / 2U 100,000원 / 4U 130,000원 쿼터 220,000원 / 하프 370,000원 / 풀 670,000원 |
DDoS(디도스) 보안서비스 + 웹방화벽 패키지 서비스 문의(070-7600-5513) |
1. 디도스 우회 proxy 보안서비스를 통한 웹서버 IP 숨김지원 | |
무료 보안 컨설팅 | 2. 웹취약점을 통한 로그인 탈취 및 데이터 손실 방어를 위한 실시간 웹방화벽 차단서비스 |
귀사의 서버에 보안침해를 경험하셨거나, 보안취약점 점검을 받아보시고자 하시면 언제든지 전화 및 메일 주시면 보안취약성 점검을 통한 보안레포트를 제공해드리겠습니다. 보안취약성 점검을 위한 무상장비는 웹방화벽, IPS 무상 지원해드립니다. |
홍콩 서버호스팅 |
○ Intel Xeon E3-1230Lv3 Core 8GB DDR RAM / 500GB SATA 구성 | |
○ Intel Xeon E3-1230Lv3 Core 8GB DDR RAM / 128 SSD 구성 | |
서비스문의 | |
◎ IDC사업부 : 070-7600-5513(3095, 7311) | ◎ 메일주소 : request@ehostidc.co.kr |
◎ 스카이프 : Sales_Team_EhostIDC ( 또는 '이호스트' 검색) | |
◎ 신청문의 : http://cc.ehostidc.co.kr/index.php?/cart/ |
'[IT 알아보기] > 보안 이슈' 카테고리의 다른 글
랜섬웨어 피해 예방법 - 2편 (0) | 2016.04.12 |
---|---|
랜섬웨어에 대비하고 계십니까? 보안기술 예방법 -1편 (0) | 2016.04.12 |
[주간 보안이슈]클라우드 이용자의 자동백업 정보, 구글 검색 노출 外 (0) | 2016.04.05 |
PC 정상적인 부팅 불가능하게 만드는 랜섬웨어 출현 (0) | 2016.03.31 |
홍콩, 일본서버호스팅 보안 가이드. Oracle Java SE Critical Patch Update 권고 (0) | 2016.03.28 |