해킹 – 변경된 파일 검색

Dedicated Server 와 VPS 를 여러개 이용해서 400여개의 사이트를 운용하면서 알게된 내용을 공유합니다.

보통 해킹이 되면 해킹 코드가 들어있는 새로운 파일이 생기거나 기존 파일에 해킹 코드를 삽입하는 경우들이 있습니다.

특히나 워드프레스(WordPress)의 경우 코어를 업데이트를 해주지 않으면 해킹의 위험에 노출되기 쉽습니다.

SSH 로 서버에 접속을 하여 해킹된 계정의 Document Root 경로로 이동합니다. 이동 후 아래의 커멘드를 치면

find . -mtime -2 -ls

find 로 파일을 찾는 명령어 입니다. -2 부분은 2일 전부터 수정된 파일을 검색합니다. 4일전부터 수정된 모든 파일을 검색하고자 한다면 -2를 -4로 변경후 명령어를 수행하면 됩니다.

hacked_files_search

검색 결과는 위처럼 나오게 되며 해당 파일을 열어서 확인 작업을 하셔서 해킹 코드를 제거하면 되겠습니다.

위 방법으로 모든 해킹 코드를 제거하기는 쉽지 않지만 제 경험상으로 봤을때 이런 저런 방법으로 하다가 잘 안될때 사용하시기에 좋은 방법이라 생각됩니다.

cPanel 이메일 에러 : has exceeded the max defers and failures per hour (5/5)

cPanel/WHM 을 관리하다 보면 아래와 비슷한 내용의 바운스 백 에러 메세지가 돌아오는 경우가 있다.

Domain example.com has exceeded the max defers and failures per hour (5/5 (100%)) allowed. Message discarded.
  1. SSH 를 이용해서 cPanel/WHM 호스팅 서버에 접속한다.
  2. 로그인 후, 아래의 경로로 이동한다.
  3. /var/cpanel/email_send_limits
    

    위 경로로 이동하면 defer 된 도메인과 관련된 파일이 있을 겁니다. 해당 파일을 삭제 합니다.

    그 다움 exim 을 재시작 해주면 강제로 위 defer 에러를 리셋하고 해당 도메인은 한시간을 기다릴 필요 없이 다시 메일을 정상적으로 발송할 수 있게 된다.

    /etc/init.d/exim restart