iptable 관련

당연하지 않습니다.

지금 63.105.205.116이 ssh 서비스로 2~3초 간격으로 접근을 시도하는 것입니다. 이건 해킹툴로 무작위 ID와 Password를 입력, 접속 시도하는 방법인데 쓸데없는 계정이나 알기쉬운 비밀번호를 설정한 경우 해킹당하기 쉽습니다.

대처방법은 message를 tail로 긁고 있다가 authentication failure라는 스트링을 만나면 해당 IP를 5분정도 차단하는 방법을 스크립트로 구현해서 돌려놓으면 됩니다.

일반적으로 hosts.deny파일에 해당 IP를 등록해 뒀다가 다시 Flush 시키는 방법으로 하고, 무한으로 등록해 놓게 되면 내가 필요에 의해서 접근할때도 한번 접속 실수 하면 아예 접근도 못하는 불상사가 생기므로 5분 정도 등록 해 두는게 좋습니다.

일반적으로 해킹툴은 1~3초 정도로 연결시도 하므로 1분 이상 끊기면 차단된걸로 알고 포기합니다.

김생 님의 글

message 화일에

Dec 25 02:01:49 ns1 sshd(pam_unix)[12385]: check pass; user unknown
Dec 25 02:01:49 ns1 sshd(pam_unix)[12385]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=63.105.205.116
Dec 25 02:01:51 ns1 sshd(pam_unix)[12386]: check pass; user unknown
Dec 25 02:01:51 ns1 sshd(pam_unix)[12386]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=63.105.205.116
Dec 25 02:01:54 ns1 sshd(pam_unix)[12387]: check pass; user unknown
Dec 25 02:01:54 ns1 sshd(pam_unix)[12387]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=63.105.205.116
Dec 25 02:02:06 ns1 sshd(pam_unix)[12392]: check pass; user unknown
Dec 25 02:02:06 ns1 sshd(pam_unix)[12392]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=63.105.205.116
Dec 25 02:02:09 ns1 sshd(pam_unix)[12393]: check pass; user unknown
Dec 25 02:02:09 ns1 sshd(pam_unix)[12393]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=63.105.205.116
Dec 25 02:02:11 ns1 sshd(pam_unix)[12394]: check pass; user unknown
Dec 25 02:02:11 ns1 sshd(pam_unix)[12394]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=63.105.205.116

이런게 있는데  당한겁니까?

이게 어떤 증상인지 몰라서요...

아시는분 알려주세요

감사....