최근에, 관리하고 있는 서버 한대가 이상 증상(해킹 의심)을 계속 보이고 있어 점검하던 중 "Routing and Remote Access" 서비스에 "Plug and Play" 서비스가 종속성이 걸려 있는 것을 보고 경악한 경험이 있다. 두 서비스는 아무 관계가 없기 때문이다!! 이로써 해킹의 "의심"은 "확신"으로 굳어가고 있지만, 어떻게, 차단할 방법은 아직까지 없어보인다. V3가 버젓이 깔려있지만 전혀 감지도 못하고(아마 정상적인 경로로 들어오기 때문?) 유유히 뚫고 들어오는데다, 윈도우 방화벽도 제 역할을 못하기 때문(막으면 나조차 접근을 못하므로)이다.

 

그래서, 우선, 쓸 데 없이 걸려있는 종속성을 제거해보기로 했다. 없던 걸 걸기도 했으니 걸린 걸 뺄 수도 있을 것이므로 쉽게 할 수 있는 방법을 찾아봤다.

 

-----

 

윈도우 서비스에는 종속성이라는 것이 있어서 어떤 특정 서비스를 실행하는데 있어 먼저 실행되어 있어야만 하는 서비스를 지정하는 옵션이 있다. 이는 보통 서비스를 만들고 설치할 때 결정되는 것이지만, 이미 설치된 서비스도 종속성을 변경할 수 있다.

 

바로 sc.exe 도구로 말이다.

 

1. 서비스 종속성 설정

 

sc.exe config PlugPlay depend= RemoteAccess

 

"Plug and Play" 서비스가 "Routing and Remote Access" 서비스에 종속된다.

Routing and Remote Access 서비스가 실행이 되는 중에만 Plug and Play 서비스가 실행된다.

Plug and Play 서비스를 시작할 경우, Routing and Remote Access 서비스가 실행 중이 아니면 Routing and Remote Access 서비스를 실행시킨 후 Plug and Play 서비스를 실행한다.

Routing and Remote Access 서비스를 중지할 경우, Plug and Play 서비스가 실행 중이면 Plug and Play 서비스를 종료한 후 Routing and Remote Access 서비스를 종료한다.

==> 이렇게 종속성을 걸었음이 틀림없다.

 

 

2. 서비스 종속성 제거

 

sc.exe config PlugPlay depend= ""

 

Plug and Play 서비스가 실행 중인 상태에서 Routing and Remote Access 서비스를 중지하고자 하면 위와 같이 종속성을 해제한 후 Routing and Remote Access 서비스를 중지해야 한다.

==> 이걸로 종속성을 제거하면 된다.

 

 

3. (옵션) 서비스 자동 실행 설정

 

sc.exe config PlugPlay start= auto

 

(depend=, start= 등의 옵션 뒤에는 공백이 한 칸 있어야 한다!!)



Posted by 떼르미
,


자바스크립트를 허용해주세요!
Please Enable JavaScript![ Enable JavaScript ]