mainact
232
2021-11-08 06:04:12 작성 2021-11-08 06:26:28 수정됨
3
430

db가 해킹을 당했습니다.


그제 보니 DB 스키마가 모두 사라지고 이상한 데이터베이스에 48시간안에 비트코인을 보내지 않으면 데이터를 공개하고 모두 지운다는 협박성 텍스트가 있습니다. 

침투 경로는 딱 개발만하는 PC라 아마도 잠시 열었던 8080포트를 타고 들어온 것으로 추정하고있습니다. 아파치 , 톰캣 mysql 모두 제가 로그 설정을 안한건지 로그도 없습니다.

DB백업도 있고 일단 PC , 개발용 PC 포맷 및 네트워크 초기화는 해두었는데 또 해야할것이 있을까요.

걱정되는 부분은 48시간안에 비트코인을 보내지않으면 공개한다는데 사실 개발 DB라 개인정보가 없는데 신경쓰입니다.


아마도 sql injection 으로 내부 DB에 접근한것으로 추측하는데 이러한 경험이 있으신 분이 계신가요?

대처를 어떤식으로 해야할지 잘모르겠습니다.


0
  • 답변 3

  • 캐티
    5k
    2021-11-08 07:38:30

    sql 계정에는 권한을 지정 할 수가 있쩌.

    db 삭제 변경 같은 권한은 빼도 서비스에 지장을 주지 않을것이비낟.

    root 계정에도 패스워드를 걸어주는 것도 좋은 방법이겠쩌여.

  • 쿠잉
    4k
    2021-11-08 08:58:10

    3306포트가 외부에 오픈되어있나요?

    -> 만약 그렇다면 이부분일수도 있습니다


    3306포트는 막혀있고 웝관련 80이나 8080만 열려있다

    -> sql 인젝션일수 있죠


    22번 ssh포트가 오픈되어있고 로그인 방식이 패스워드이다

    -> 이러면 ssh 로 들어왔을수도 있고요

  • mainact
    232
    2021-11-08 14:35:34

    쿠잉 

    다닫혀있고 아마 따로설정한기억도없어서 80만 열려있던거 같습니다.

    궁금한게 sql 인젝션으로 db를 crud 하는거 외에 dump를 뜨거나 복제하는 행위가 가능할까요?

  • 로그인을 하시면 답변을 등록할 수 있습니다.