안녕하세요. 다우오피스 운영팀입니다.
현재 설치형, 구축형 고객사 일부에서 랜섬웨어 피해상황이 접수되었습니다.
랜섬웨어 유입경로와 피해범위가 파악되어 안내해드립니다.
[유입경로]
1. 다우오피스의 내부용 서비스에서 사용되는 포트 통해 원격코드 실행 (리포트 상세)
2. 8161, 61616 포트 외부접근 Open된 서버 랜섬웨어 감염
3. /tmp/.bash2 파일 생성 및 실행되면서 서버의 파일을 .locked 확장자로 암호화
[조치 요청사항]
-
방화벽에서 기본 서비스 포트 외 [출발지 : Any / 목적지 : Any] 차단(deny) 정책 운영
- 다우오피스 서비스 포트 확인하기 (링크)
-
랜섬웨어 감염경로로 확인된 포트 차단 설정 (1616, 61612, 61616, 8161, 8983, 9090)
- 방화벽이 없는 경우 서버 Iptables에 포트 차단 설정
# iptables -I INPUT 1 -s 127.0.0.1 -j ACCEPT
# iptables -A INPUT -p tcp --dport 1616 -j DROP
# iptables -A INPUT -p tcp --dport 61612 -j DROP
# iptables -A INPUT -p tcp --dport 61616 -j DROP
# iptables -A INPUT -p tcp --dport 8161 -j DROP
# iptables -A INPUT -p tcp --dport 8983 -j DROP
# iptables -A INPUT -p tcp --dport 9090 -j DROP
# service iptables save
-
서버 종료한 고객사는 방화벽 정책 (상기 1,2번) 확인 후 서버 전원 On
-
TMSe 메일보안 제품 메일보관기간 연장 조치한 고객사는 원상복구 진행
[메일보관 시간연장 원상복구 방법]
- TMSe 관리자 페이지 로그인
-
접속 URL : http://(TMSe 접속URL):8000
-
기본 관리자 계정 : tmseadmin
※ 접속 정보 확인이 어려우실 경우, 저희 고객케어라운지로 문의 남겨주시기 바랍니다.
-
[시스템 관리 > 서비스 설정 > 송수신환경 > 기본 환경] 페이지 이동
-
최하단 "송수신 지연 큐 정책" 변경
- 수신메일 : 재시도 간격 10분 / 재시도 횟수 3회
-
서버 콘솔 접속이 가능하신 경우 DB 백업 진행
[DB 백업 방법]
1. DB 종류 확인 및 설치 디렉토리 확인
# ps -ef | grep dbdata
[PostgreSQL]인 경우 오른쪽 경로 확인 : /opt/TerraceTims/3rd/postgresql/bin/
[EnterpriseDB]인 경우 오른쪽 경로 확인 : /opt/TerraceTims/3rd/edb/9.4AS/bin/
2. DB 백업하기
[PostgreSQL 인 경우 아래 명령어 실행]
cd /opt/TerraceTims/3rd/postgresql/bin/
./pg_dump -U mailadm -p 5432 tims -F c -f /dbdump_20231028_01.sql &
[EnterpriseDB 인 경우 아래 명령어 실행]
cd /do/3rd/edb/9.4AS/bin (edb 11버전의 경우 : cd /usr/edb/as11/bin/)
./pg_dump -U mailadm -p 5432 tims -F c -f /dbdump_20231028_01.sql &
-
서버 정상 재부팅 확인 후 다우오피스 서비스 시작
- # /opt/TerraceTims/script/START_TIMS.sh
※ 직접 조치가 어려우신 경우 고객케어라운지 상단 [오류신고]로 남겨주시면 순차적으로 조치해드리도록 하겠습니다.
[문의접수]
- 고객케어라운지 상단 : [오류신고]
- 메일: help@daouoffice.co.kr
- 전화: 1599-9460
업무에 불편을 드려 죄송합니다.
보다 안정적인 서비스 운영을 위해 노력하겠습니다.