|
가끔 질문이나 올리는 불량회원입니다.
염치 불구하고 또 도움을 청합니다.^^;; 미리 감사드립니다. 꾸벅.
어쩌다보니 회사 서버 관리를 하게되었는데, 아는 것이 없어 고생 중입니다.
미디어서버를 데이터센터에 두고 쓰고 있습니다.
IDC쪽에서 서버 트래픽이 어제 오전 9시~10시 사이 폭증했다면서 특별한 작업이 있었던 것이 아니면 해킹이 의심된다고 확인해보라고 연락이 왔습니다.
1.트래픽 기록을 쭉 보려면 어딜 봐야하지요?
2. 이벤트 뷰어 Windows로그, 보안을 보니 몇일 전부터 "감사실패"가 몇초 간격으로 엄청나게 많은 양이 기록되어 있네요. 원본네트워크 주소를 whois에 넣어보니 베트남과 중국, 한국 KORNET 이 정도가 반복됩니다. 서버를 누가 공격하고 있는 것인가요?
3. 기록이 남아 있는 범위에서는 22일 오전 8시 40분부터 26일 오후 3시 정도까지 연속으로, 오늘은 자정부터 오전도 10시까지 계속 상기와 같은 기록이 남아 있습니다.
로그온을 실패한 계정이름이 admin, administrator, cs, 1, test 등 일반적으로 사용하는 이름이네요.
4. 로그온 시도 기록은 그 전에도 지속적으로 남아 있는데 26일 9시~10시 사이에 트래픽이 폭증했다는 것은 뚤렸다는 얘기가 되는 것인지요?
5. 오늘도 상기와 같은 시도 기록이 많이 있는데, 이를 어떻게 막아야 하는지요?
그냥 컴퓨터 좀 만진다고 서버 관리를 하게 되었는데, 신세계라 뭐가 뭔지 전혀 모르겠네요. 도움 부탁드립니다. 감사합니다.
|
![[윈도우 서버] 트래픽, 해킹? - 와싸다닷컴](upload/happy_config/info_logo.png "[윈도우 서버] 트래픽, 해킹? - 와싸다닷컴"){kind=logo}
제목
