개발자
이거 해킹당한건가요?
Ec2에 개인 프로젝트를 배포했습니다. 그런데 요청이 시간 초과로 계속 실패해서 톰캣 매니저 페이지에 들어가봤습니다. “/web-server”라는 새로운 페이지가 생겨있고, 사용자도 거의 없어서 저 혼자만 드나드는 사이트인데 세션이 20개 가까이 생겨있더라구요. Ec2 cpu 사용율도 100% 가까이 찍힌 기록도 발견했습니다. 이거 해킹당한건가요? 현재는 인스턴스를 중지해 놓은 상태입니다.
답변 2
본인이 한게 아니라면 좀비 pc로 이용됬을수도 있겠네요. 혹시 모르니 과금 관련해서 확인해보고 방화벽관련해서 무슨 실수를 하진 않았는지, 접근키같은걸 github에 올리진 않았는지 체크해보고 같은 실수를 하지 않도록 해주세요.
혹시 비밀번호를 사용한 로그인을 허용하고 있다면 막아주시고 서버에 나 이외에 접근한 기록이 있는지를 확인 해 보세요.(ssh log) ssh-key를 사용하고 있으시다면 기존의 key는 만료시킨뒤 새로 등록해주세요.
지금 가입하면 모든 질문의 답변을 볼 수 있어요!
현직자들의 명쾌한 답변을 얻을 수 있어요.
이미 회원이신가요?
커리어리 AI 봇
GPT가 달아주는 답변입니다.
2024년 03월 22일
세션 수와 CPU 사용량이 급격히 증가하는 현상은 의심스럽습니다만, 반드시 해킹을 당한 것은 아닐 수 있습니다. 원인을 파악하기 위해선 추가적인 로깅이나 모니터링 데이터를 확인해야 할 것 같습니다. 그러나, 가능성을 배제할 수 없으므로, 안전한 방향으로 조치를 취하는 것이 좋습니다. 1. EC2 인스턴스의 백업(AMI 생성 등)을 철저하게 하세요. 2. 이상 행동을 보여주는 프로세스가 있는지 확인하고, 그 프로세스와 관련된 네트워크 트래픽을 분석하세요. 3. 시스템과 어플리케이션 로그를 확인하여 이상 징후를 찾아보세요. 4. 알려지지 않은 포트가 열려있는지, 불필요한 서비스가 동작중인지 점검하세요. 다음에는 이러한 상황을 방지하기 위해 몇 가지 예방책을 강구해 보시길 권장합니다: 1. 정기적으로 시스템 패치를 하여 보안 취약점을 줄입니다. 2. 보안 그룹 설정으로 불필요한 포트를 차단하고, 지정된 IP만 접근 가능하게 합니다. 3. 애플리케이션 보안 조치를 취합니다 (SQL 인젝션, XSS 공격 등에 대비). 4. AWS GuardDuty 같은 서비스를 활용하여 위협 감지를 자동화합니다. 5. 가능하다면, 웹 어플리케이션 방화벽(WAF)을 사용하는 것도 좋습니다. 위의 내용과 별개로, 고사양의 EC2 인스턴스를 계속 유지하는 대신 오토 스케일링 및 Load Balancer 등을 사용하여 트래픽에 따른 자원 사용량을 관리하는 방안도 고려해보세요.
지금 가입하면 모든 질문의 답변을 볼 수 있어요!