zipi

LogonUI.exe 여러개가 CPU 100% 사용중일때 본문

컴퓨터/Internet

LogonUI.exe 여러개가 CPU 100% 사용중일때

zipi 2013.07.12 11:04

오래전이지만, 개인 PC가 갑자기 느려지는 일이 발생했습니다. 작업관리자를 보니 LogonUI.exe, WinLogon.exe 등의 프로세스가 여러개가 있고, CPU를 100% 사용하면서 컴퓨터가 엄청 느려지기 시작한 것이지요.

프로세스를 죽이더라도 잠시 후 다시 생겼으며, 다시 느려지기 시작했습니다. 백신 프로그램으로 검사를 해봐도 걸리는건 하나 없는 현상이 나타납니다.


검색 좀 해보니 누군가가 원격데스크톱으로 계속 접속을 시도중인 것이었습니다. 원격 데스크톱에 접속하려면 계정과 비밀번호를 알아야 하는데, 이를 어디선가 하나하나 넣어보면서 해킹 시도를 하는 것이었죠. 그것도 여러개의 PC로 동시에...


확실히 확인해보려면 명령 프롬포트에 netstat -ano | findstr 3389 라고 쳐주시면 됩니다.


사진처럼 3389포트(원격데스크톱 기본 포트)로 외부에서 여러대의 PC로 접속을 시도중입니다. 이경우 PC에서 인증확인하려고 프로세스 100% 점유가 되면서 마치 바이러스 걸러서 느려진 것처럼 됩니다.

이때 프로세스를 종료하더라도, 다시 접속 시도가 발생하면 프로세스가 생기면서 느려집니다. 이 떄 암호가 없거나, 간단하다면 해킹이 되고, 순식간에 컴퓨터에 이것저것 깔리게 됩니다.

한번 경험해 본적이 있습니다. (Administrator 계정에, 비번없이 원격데스크톱 허용 상태) 컴퓨터 사용중 갑자기 로그인 화면으로 팅기면서(원격 데스크톱 접속이 허용된 모습), 다시 로그인 했을 때 순식간에 여러 이상한 프로그램이 설치가 된 상태였습니다.


아무튼 위 문제들의 해결 방법은 1. 원격 데스크톱 끄기, 2. 원격 데스크톱 포트 변경, 3. 해당 IP 차단 등이 있습니다.


윈도 기본 원격제어 사용법, 포트포워딩 방법
원격 데스크톱 연결 포트 변경하기
포트포워딩을 활용한 공유기 내의 원격데스크톱 2대 사용하기


위 링크들은 2번 포트변경을 할 수 있는 방법들입니다. 레지스트리 수정과, 공유기 사용할 경우 공유기에서 포트포워딩을 다르게 걸어줘서 포트를 변경할 수 있습니다.


포트 변경이 힘들다면, IP차단 방법이 있습니다. 윈도 내장 방화벽에서 IP를 차단시킬 수 있습니다.



윈도 내장 방화벽입니다. 이중 '고급 보안이 포함된 Windows 방화벽'을 이용하시면 됩니다. 보통은 특정 포트를 열때 사용하지만, 차단도 가능합니다.


위에서 새규칙을 누르신다음, 아래와 같이 설정합니다.

규칙종류 - 사용자 지정

프로그램 - 모든 프로그램

프로토콜 및 포트 - 모두

범위 - '이 규칙이 적용되는 원격 IP 주소'에 '다음 IP 주소', 추가를 눌러 명령프롬포트 창에 나오는 IP 입력

작업 - 연결 차단

프로필 - 모두 또는 현재 사용하는 네트워크

이름 - 적당한 규칙 이름


이렇게 하면 바로 IP 차단이 들어갑니다. 포트 변경이 싫다면 위 방법도 나쁘지 않습니다. 다만 하나하나 추가시켜야 하는 불편함이 있지요.


방화벽에 로그를 남길 수 있는데, 의외로 많은 곳에서 해킹 시도가 발생합니다. 그러니 되도록 Administrator 계정은 사용하지 않고 다른 계정을 사용하며 비밀번호는 간단하게 하시면 안됩니다.

가장 좋은 방법은 원격 데스크톱을 끄거나, 포트를 변경하여 외부에서 일반 포트로 접속하지 못하게 해야 합니다.


신고
3 Comments
  • 프로필사진 Favicon of http://badayak.com BlogIcon 바다야크 2013.07.12 11:54 신고 윈도우가 느려지면 확인해 봐야겠어요. 좋은 글 감사합니다. ^^
  • 프로필사진 Favicon of http://osej.co.kr BlogIcon 어세즈 2013.07.26 09:58 신고 헛, 저도 경험했던 것 같은 현상 같은데요.. ㅠ-ㅠ 해킹을 당했던 것인강...ㄷㄷㄷ
    꺼도 다시 켜지고, 아무것도 안잡혀서 그냥 포맷했던 기억이.. _-;;
  • 프로필사진 Favicon of http://zipi.me BlogIcon zipi 2013.07.28 16:56 신고 저도 이렇게 받았을때 깜짝 놀랐었습니다.
    프로세서가 100%인데, 바이러스 검사해봐도 바이러스는 아니고..
    찾다보니, 해당 프로세스가 원격데스크톱과 관련이 높다는것.

    그래서 포트 사용사항을 봐보니 여러명이 접속하려 했더라구요. 그렇게 알게 되었습니다.

    알게 보르게 해킹 시도가 많은것 같더라구요. 개인적으로 사용하고 있는 파일서버쪽으로 FTP, 원격데스크톱, SSH접속시도까지 ..

    하루에도 수십번씩 사용하는데.. 정말 보안 생각한다면 암호 바꾸고. 확실한건 알려진 포트를 사용하지 않는게 답인거 같더라구요.
댓글쓰기 폼