다우오피스 랜섬웨어 긴급대응 조치사항 안내

최근에 설치형 및 구축형 고객사 중 일부에서 랜섬웨어로 인한 피해가 발생하였습니다. 이에 따라 랜섬웨어 유입 경로와 대응 조치사항 내용입니다.

랜섬웨어 유입경로

다우오피스의 내부용 서비스에서 사용되는 포트를 통해 원격코드 실행 8161, 61616 포트를 외부에서 접근 가능하도록 열어둔 서버로 인해 랜섬웨어가 감염 /tmp/.bash2 파일을 생성하고 실행하면서 서버의 파일을 .locked 확장자로 암호화

조치 요청사항

방화벽 설정:

방화벽에서 기본 서비스 포트 외
[출발지 : Any / 목적지 : Any] 차단(deny) 정책 운영

다우오피스 서비스 포트 확인하기

랜섬웨어 감염경로로 확인된 포트 차단 설정: 1616, 61612, 61616, 8161, 8983, 9090 포트를 차단 설정

방화벽이 없는 경우 서버 Iptables에 포트 차단 설정

# iptables -I INPUT 1 -s 127.0.0.1 -j ACCEPT
# iptables -A INPUT -p tcp --dport 1616 -j DROP
# iptables -A INPUT -p tcp --dport 61612 -j DROP
# iptables -A INPUT -p tcp --dport 61616 -j DROP
# iptables -A INPUT -p tcp --dport 8161 -j DROP
# iptables -A INPUT -p tcp --dport 8983 -j DROP
# iptables -A INPUT -p tcp --dport 9090 -j DROP
# service iptables save


서버 종료한 고객사는 방화벽 정책 확인 후 서버 전원 On
TMSe 메일보안 제품 메일보관기간을 연장한 고객사는 원상복구 진행

메일보관 시간연장 원상복구 방법

TMSe 관리자 페이지에 접속 후 아래와 같이 설정 변경
[시스템 관리] > [서비스 설정] > [송수신환경] > [기본 환경] 페이지 이동
최하단 "송수신 지연 큐 정책"을 변경
수신메일: 재시도 간격 10분 / 재시도 횟수 3회
서버 콘솔에 접속 가능한 경우 DB 백업 진행

DB 백업 방법

DB 종류 확인 및 설치 디렉토리 확인

PostgreSQL의 경우:
/opt/TerraceTims/3rd/postgresql/bin/

EnterpriseDB의 경우:
/opt/TerraceTims/3rd/edb/9.4AS/bin/

아래 명령어를 실행하여 DB 백업

PostgreSQL의 경우:
cd /opt/TerraceTims/3rd/postgresql/bin/
./pg_dump -U mailadm -p 5432 tims -F c -f /dbdump_20231028_01.sql &

EnterpriseDB의 경우:

cd /opt/TerraceTims/3rd/edb/9.4AS/bin/
./pg_dump -U mailadm -p 5432 tims -F c -f /dbdump_20231028_01.sql &

서버 정상 재부팅 확인 후 다우오피스 서비스 시작

예시: # /opt/TerraceTims/script/START_TIMS.sh

문의접수

다우오피스 긴급대응 매뉴얼
메일: help@daouoffice.co.kr
전화: 1599-9460

이렇게 안전하고 신속한 조치를 통해 랜섬웨어 피해를 최소화할 수 있습니다.