해당과정을 통해 CVE 취약점을 발견했다.
[AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Inspector를 통해 구체적인 침투 증적 조사 [T]
AWS Inspector란?보안 평가 서비스어플리케이션 환경을 스캔하여 보안 취약점 및 모범 사례 위반 사항을 탐지 및 보고 해당 게시글에서 이어서 진행 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를
seongduck.tistory.com
- AWS Inspector와 AWS CloudWatch로 해당 정황을 파악했다.
해킹당한 서버에 Session Manager로 붙기 (패치)
패치를 적용하기 위해 잠시 서버에 접근할 수 있도록 환경을 변경해보자.
1) VPC -> 네트워크 ACL -> 해당 서브넷을 감싸고 있던 NACL 선택 -> 아웃바운드 규칙 검토
2) 자동 조치로 인해 만들어진 부분을 제거한다.
3) 해당 EC2 (털린 인스턴스)를 정지 후 시작한다. (재부팅하면 임시 자격증명이 갱신이 안된다.)
- 이제 해당 서버는 Session Manager 접근이 가능한 환경으로 변경되었다.
1) Session Manager 콘솔 접속 -> 기본 설적
2) 편집 -> Linux 인스턴스에 대해 Run AS 지원 활성화 체크 -> ec2-user로 변경 -> 저장
3) Session Manger -> 세션 -> 세션 시작 -> 해당 Host 선탹 -> Start Session 클릭- 위의 90번 규칙과 서버를 재기동했다면 정상적으로 작동된다.
서버 보안 패치 진행
1) sudo yum update --security -y
2) 완료시 해당서버 중지 -> 시작- yum update에 커널 패치까지 적용됐다.