soowim

해킹을 당했다고 연락이 왔다.

비트코인을 보내라고 하는데 ㅎㅎㅎ 

마이너 하다!

root를 못 뚫었고, 데이터를 기준으로 암호화한 것이 아닌, 계정을 통해 권한을 없앤 것 같다.

/etc/passwd 사용 계정 추리고, 삭제 및 재생성  ipmi 마스터 계정 재생성 하였다.

f/w에서 무작위 포트 접근 IP 특정 5개  24비트 통으로 차단을 했고,

pam_tally2로 극한 제한(1회 실패시 60분 제한)을 해서 시도여부를 체크하고 있다.

생각보다 간단했다.

역시 내부망 이용 또는 DMZ 통해 사용 포트만 오픈하고 모두 차단하는 쪽으로 안내해드렸다.