해킹 당한건가요?

오전에 갑자기 홈페이지가 다운되며, 홈페이지 안뜹니다.

아파치, 네임데몬은 다 떠있는데..

/var/log/secure파일을 보니..

다음과 같습니다.

aug 18 11:23:20 hongweb sshd[931]: Received signal 15; terminating.

aug 18 11:25:28 hongweb sshd[907]: Server listening on 0.0.0.0. prot 22.

aug 18 11:47:20 hongweb sshd[907]: Received signal 15; terminating.

aug 18 11:49:28 hongweb sshd[905]: Server listening on 0.0.0.0. prot 22.

aug 18 12:48:20 hongweb sshd[905]: Received signal 15; terminating.

aug 18 12:50:28 hongweb sshd[905]: Server listening on 0.0.0.0. prot 22.

aug 18 13:16:20 hongweb sshd[905]: Received signal 15; terminating.

aug 18 13:22:28 hongweb sshd[905]: Server listening on 0.0.0.0. prot 22.

aug 18 14:07:20 hongweb sshd[905]: Received signal 15; terminating.

aug 18 14:0928 hongweb sshd[905]: Server listening on 0.0.0.0. prot 22.

해킹이라면 처방법도 알려주시면 감사합니다.ㅠㅠ 아직초짜라서요..

22번 포트 sshd를 통해서 해킹당한거 같아서 위의 로그를 보여주신건가요? 이 로그만 보고는 내공이 딸려 판단하기가 느므느므 어렵네여^^

아무튼 다음의 내용을 알려주시기 바랍니다.

- ssh로 로그인이 되나요?

- 만약 ssh로 로그인이 된다면 로그아웃도 정상종료 되나요?

- 위의 로그내용중 signal 15는 SIGTERM입니다. 아마 비정상 종료시 나오는 시그널이구요. 혹시 로그에 있는 시간에 로그아웃한적이 있는가요?

- 홈페이지 다운됐는디 위의 포트 22번 로그를 보여준 바 아마도 홍양께서는 22번 포트로 해킹당한것  같은 생각 이겠지요? 그렇다면 sshd의 버젼을 확인해봐 주세요. 사용하시는 Linux 배포본의 종류에 따라 다소 틀릴 수 있지만 아무튼 최신버젼인지를 확인해 보세요. 알려진 버퍼오버플로가 있는 버젼일 경우 바로 뚫릴수 있읍니다. 또한 로그 중에 "Illegal user...."나 "Failed password ....."등등은 없나요?

- 그리고 chkrootkit을 가지구 시스템 점검을 해보시구요.

- 해킹당한 후에는 웹데몬등이 떠있어도 믿을것이 못됩니다.^^

마지막으로 해킹당한 것 같으면 www.myservercop.com의 MyServerCop Linux를 사용해 보세여.^^ 모든 패키지를 최신 업데이트 해주는 등등등.... 최선의 선택인것 같네염^^

http://www.myservercop.com

alex@myservercop.com

Alex.