본문 바로가기

Server Story..../Windows Server

유럽 WMT(미디어서버) 보안 침해 사고 처리

================================  엽동네에서 퍼왔습니다. ==============================

안녕하세요?


오전에 급하게 유럽쪽 IDC 관제 센터에서 저희가 운영하는 WMT(윈도우 미디어 서버)가 침해 사고가 발생하여 즉시 처리해달라는 메일이 들어와 있어 점검해보니, 서버가 가관이 아니더군요..서버 보안 관리가 전혀 않되어 있는게 눈에 훤히 보이네요... 


아래는 침해된 서버의 침해 원인을 찾고 처리한 방안 입니다. 


사용한 Tools 로는 Sysinternal.com 에서 배포한 pslist 라는 Command tool 과 aport.exe라는 GUI 툴을 이용하여, 침해된 프로세스를 찾고 해당 프로세스의 위치를 찾아 이동시킴으로써, 우선 땜방식 처리는 했네요. (땜빵식 처리는 임시 방편일 뿐 근본적인 원인을 처리해야만 할거같아요....하지만 근본 원인을 해결 해야하는데.)


=============================================================================================

A. 윈도우 보안 패치 자동 업데이트를 하지 못하도록 기능 무력화 시킴

  1. 처리 방법

    i. 시작 / 실행 / Regedit 입력

    ii. 다음 Register Key 이동 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update

    iii. Auto Update의 하위키 중 REBOOTREQUIRED라는 키를 찾는다

    iv. REBOOTREQUIRED라는 키에 마우스 우측 버튼을 클릭하고 삭제 한다.

  2. Rundll32.dll 불법 파일에 의한 포트 불법 서비스 진행


불법 프로세스가 메모리에 올라와 있고, 서비스를 진행하고 있는 상태.


불법 프로그램에 의한 특정 포트(1433,ETC)를 통한 서버 랜덤 포트에 대한 무작위 스캔이 이루어 지고 있는 상황



오른쪽 파일이 변조된 침해 파일이며, 오른쪽이 dllcache 원본 폴더에 존재하는 파일

1. 생성 일자가 전혀 틀림

2. 용량이 전혀 틀림

3. 변조된 파일은 버전 및 호환성 관련 탭이 존재하지 않음

 

침해 사고 예방 방법

1. 외부에서 접속할 수 있는 Port 제약 (IPSec 또는 윈도우 방화벽 이용)

    A. 서비스 포트를 제외한 모든 포트 제약 설정

2. 시스템 보안 패치 중 본사 검증된 패치는 즉시 다운로드 및 서버 재 시작 피요

3. 중앙 집중적 서버 관리 및 관제 필요 (향후 추진 예정)

4. 관리자 기본 계정 변경 (Administrator => 신규 정책에 따라 바뀐 관리자 계정)

5. 기타 보안 설정

 

해당 서비스는 현재 중지 상태이지만, 언제든지 재 침해가 발생할 수 있으며, 근본적인 예방 대책이 필요합니다.


감사합니다.

=========================================================================================================