OS/해킹, 보안취약점 (4) 썸네일형 리스트형 [보안취약점] Content Security Policy (CSP) 보안취약점 #. 참고 글 https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP https://lovflag.tistory.com/19 https://melonpeach.tistory.com/135 https://cyberx.tistory.com/171 [해킹방지] SSH 접속 이력 확인하기 참고 블로그 글 https://zetawiki.com/wiki/%EB%A6%AC%EB%88%85%EC%8A%A4_%EC%A0%91%EC%86%8D%EA%B8%B0%EB%A1%9D_%ED%99%95%EC%9D%B8_last https://coconuts.tistory.com/387 last 명령어 사용 who 혹은 w 명령어로 현재 접속 중인 SSH 세션 확인 후 ps -ef|grep ssh 명령어로 특정 세션을 kill 하는 것도 가능 [해킹] pwnrig 해킹 - 가상화폐 채굴 멀웨어 관련 기사 https://www.boannews.com/media/view.asp?idx=108479 참고한 블로그 https://www.lesstif.com/system-admin/chmod-setfacl-operation-not-permitted-20776551.html 해킹 증상 - CPU 사용률이 50%이상 - 일반 유저가 sudo 설정되어 있었음 - crontab에 다수 명령어 등록되어 있었음 (crontab -l 확인) - cron.d, cron.daily, cron.houly, cron.weekly, cron.monthly 에 pwnrig가 모두 등록되어 있었음 - ntpdate에 pwnrig 관련 명령어가 추가되어 있었음 - 특정 프로세스를 숨기는 ***.so 파일이 /usr/lib 아래에.. 가상화폐 채굴 해킹 조치 - SSH 무작위 대입 공격 지난주 금요일부터 개인서버 cpu 점유율이 50% 이상 올라가는 현상이 매일 발생하고 있음 홈디렉토리의 bash 설정파일들도 모두 삭제됨 홈디렉토리에 이상한 이름의 디렉토리가 있음 들어가보니 miner.sh 라는 스크립트가 있음 채굴봇 관련 해킹을 당한 것으로 보임...... 관련 블로그 보며 원인 파악 + 보안 조치 하도록 하자... 참고 블로그https://wooriworld2006.tistory.com/410 find /dev -type f -exec ls -l {} \;검사 결과 아래경로에 hidden 파일이 존재 하였다. 아래는 /tmp 검사결과이상한 네이밍의 디렉토리들이 존재함 /var/log/secure 로그 확인POSSIBLE BREAK-IN ATTEMPT! 키워드가 계속해서 .. 이전 1 다음
