|
안녕하세요...윈도우가 이상한 증상이 있어서 찾아보다가 아래같은 증상이 있네요...그래서 이것저것 조치를 취해봐도 안되네요..
델마당에도 물어보고 있네요...
우선 winXP+sp3+최신보안update 완료, oracle 8.1.7 퍼스널 버젼사용
계정은 administrator(암호12자리), Guest 계정 사용, 고정ip 사용, 공유기의 외부에서 ping금지, windows 방화벽 사용X , 바이로봇 on
이렇게 해놓은 상태에서 몇칠정도 지나서 아래그림폴더, 계정을 확인해보면 이상한게 생겨있네요...그래서 윈도우 다시깔고 해도 또 몇칠되면
아래처럼 이상한 파일들이 생깁니다. 현재로써는 VPN을 당장 도입할 수 없는 상황입니다. 웹서핑을 거의 안하는 컴퓨터 입니다. 일반 adsl사용하는데 고정ip라고 봐도 무방하네요..
어디서 찾아보니까.."wholove가 여러분의 서버 계정에 올라가 있다면 서버 보안이 뚤린 겁니다." 라고 나오는데....
어디가 뚫렸는지.....뚫렸다면 어떻게 막아야 하는지 혹시 전문가님 조언좀 들을 수 있을까요..?? 미쳐버리겠네요..
|
그림을 보니 파일들이 생성된 위치도 오라클 폴더 아래이고요.
8.1.7 퍼스널이면 아주 오래된 버전인데요, 오라클에서 보안 구멍을 알고 있더라도 더 이상 패치도 내놓지 않을만큼 오래된 버전이죠.
테스트 가능하시다면, 저 파일들을 삭제한 후 오라클을 중지시키고 며칠 지나보시면 알 수 있지 않을까 싶습니다.
도용맨님이 의문을 가지시는 부분은...
오라클은 자세히 모릅니다만, MS SQL을 예를 들자면 순수하게 데이터베이스 연결만으로 윈도우 셸 명령을 실행하는 SQL문을 지원합니다.
(2005 버전에서 봤는데 현재도 있는지는 모르겠습니다) 이런 종류의 SQL 셸 기능이 오라클에는 전혀 없다고 보기는 어렵겠고요.
거기서 인증이 충분하지 않다면 로컬의 셸을 외부 해커가 뚫는 게 가능해지죠.
보통은 이런 셸 기능을 이용해서 해커 사이트(보통은 좀비 서버)로부터 해킹 툴을 ftp나 http로 다운로드하고, 그걸 실행시키는 거죠.
이렇게 다운로드하는 프로그램들 중에는 로컬 머신의 admin 계정을 알아내서 해커 측으로 전송하는 툴도 있습니다.
로그온이 된 상태이면 어드민 계정을 알아내주는 프로그램이 있더군요. 실제로 봤고 테스트도 해봤습니다.