어제 고객한분으로부터 자신의 서버가 이상하다고 하면서 도움을 요청 하길래 보았더니 여러가지로 아주 유용하게 이용하더라.
그 이유인즉, 운영체제는 윈도우를 사용하고 있고, 이미 웜이나 바이러스에 감염이 되어 서버에 설치되어 있는 백신에 의하여 치료가 되었던 것이다.
그런데 중요한 것은 이 서버에 누군가 연결하여 사용하고 있다는 것. 그것을 시스템 관리자가 포착을 한 것이다..
조금 살펴보니 다음과 같았는데 폰카로 찍었는데 각도가 조금 이상하게 나왔네요..
위 그림에서 보듯이 내 네트워크환경에서 로컬영역, 로컬영역2 로만 되어 있어야 정상입니다..
그런데 그 밑에 지금 흐릿하지만 각 계정이 PPTP VPN 터널링으로 하여 클라이언트들이 접속해 있었습니다. 아마 처음엔 웜이나 바이러스로 감염을 시켜서 그 다음 절차엔 VPN으로 터널링하여 사용하고 있었던 모양입니다.
결국 관리자는 VPN PPTP 사용자 계정을 모두 제거 하고 지켜보기로 하였으나 영 찜찜하다고 밀고 다시 설치 하였습니다..결국 서버는 침해를 당한것이 확인이 되었던거죠...
바이러스,웜등 치료 검사 잘 해야 겠습니다...참고 하세요...자신도 모르는 사이에 갑자기 위 그림과 같이 PPTP 프로토콜을 사용하는 사용자가 있으면 누군가에 의하여 이미 서버가 장악이 되었다는 이야기일 것입니다.
'Security Skill&Trend' 카테고리의 다른 글
| 보안관련 공공기관에서 무얼 하는지 알아야 (0) | 2009/04/25 |
|---|---|
| 글로벌 보안회사 "시만텍"이 보는 인터넷보안 위협 (0) | 2009/04/23 |
| 바이러스,웜 감염후 PPTP VPN 터널링 뚫어 사용 (1) | 2009/04/14 |
| 개인정보수집, 제3자에게 꼭 넘겨야만 하는가? (14) | 2009/04/13 |
| 홈페이지 관리 허술한 KISIA (6) | 2009/04/13 |
| 여러분이 보안에 관심을 가져야 하는 이유 (0) | 2009/04/09 |
