도움의 손길을 요청합니다.
작성자 정보
- 최영주 작성
- 작성일
컨텐츠 정보
- 3,548 조회
- 0 추천
- 목록
본문
얼마전에 서버관리하시던 분이 나가고 프로그래머인 저혼자 서버관리까지 맡게 되었네요.
처음에는 그럭저럭 괜찮았으나 지난주말부터 이상한 현상이 일어나기 시작했습니다.
지난주 주말에 서버 업체에서 전화가 왔더군요. 트래픽이 폭주하여 다른 서버들에까지 영향이 간다고, 체크좀 해달라고..
이상해서 ssh 접속을 하려고 하니 접속이 안되었습니다. ftp,ssh,웹까지 모두 접속이 안되더군요. 그래서 서버업체에 전화를 걸어 체크 부탁드렸습니다.
이상한것이 콘솔로 접속은 이상이 없다고 하셨습니다. 하지만 모든 접속이 안되는 상태에서는 서버시를 할수없으므로 리부팅 요청드렸습니다.
리부팅후 별다른 증상은 다시 일어나지 않아 별다른 대응없이 지나갔습니다. 일주일동안은 아무 탈없이 지나갔습니다.
하지만 일주일이 지나고 다시 주말밤이 되다 트래픽 폭주가 일어나더군요. 또 접속이 되지 않아 리부팅후, 로그를 살펴보았지만 별다른 사항이 없었습니다.
서버 업체어서도 트래픽 제한을 10m로 하향 제한을 해놓았습니다.
그날밤부터 secure,messages로그, 아파치 웹로그, 메일로그등을 보았지만 별다른 증상이 없었습니다. 상주해계신 idc 직원분에게 부탁드려 점검을 부탁드렸지만, 그분도 별다른 이상 증상이 없다고 하시더군요.
그리고 그다음날 아침에 10시쯤 다시 트래픽, 리부팅, 그리고 그다음날 저녁6시와 밤 12시경에도 다시 폭주현상이 일어납니다.
무작위 해킹시도는 있었지만, 이런 건 처음이라 당황이 되네요.
음 해킹을 당한것을 까요? 전문적인 서버 관리자가 아니라 프로그래머라 전문적인 지식이 부족합니다. 어떤걸 체크를 해봐야 하는지 조언 부탁드립니다.
(이러다 살빠지겠어요...ㅜ.ㅜ)
일단은 ssh 접속시 root로의 접속은 차단하고 포트도 22번에서 다른포트로 변경한 상태입니다.
./pstree
init-+-ahc_dv_0
|-ahc_dv_1
|-bdflush
|-crond
|-emma-+-emmalistener
| |-emmamon
| |-emmareceiver
| `-emmasender
|-httpd---57*[httpd]
|-keventd
|-6*[kjournald]
|-klogd
|-ksoftirqd_CPU0
|-ksoftirqd_CPU1
|-kswapd
|-kupdated
|-mdrecoveryd
|-2*[mingetty]
|-named---named---4*[named]
|-proftpd
|-safe_mysqld---mysqld---mysqld---5*[mysqld]
|-scsi_eh_0
|-scsi_eh_1
|-sendmail---sendmail
|-snmpd
|-sshd---sshd---bash---su---bash---pstree
|-syslogd
`-xinetd
./chkrootkit -q
can't exec ./strings-static,
/usr/lib/perl5/5.6.1/i386-linux/.packlist
not tested: can't exec ./ifpromisc
not tested: can't exec ./chkwtmp
not tested: can't exec ./chklastlog
not tested: can't exec ./chkutmp
netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8008 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 66.232.145.17:80 211.225.59.145:2887 SYN_RECV
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 66.232.145.17:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3030 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:825 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 66.232.145.17:80 58.227.228.78:2086 TIME_WAIT
tcp 0 0 66.232.145.17:80 58.227.228.78:2092 TIME_WAIT
tcp 0 16060 66.232.145.17:80 58.227.228.78:2098 ESTABLISHED
tcp 0 0 66.232.145.17:80 211.230.36.84:2536 ESTABLISHED
tcp 0 0 66.232.145.17:80 211.230.36.84:2537 ESTABLISHED
tcp 0 0 66.232.145.17:80 211.230.36.84:2534 ESTABLISHED
tcp 0 0 66.232.145.17:80 211.230.36.84:2535 ESTABLISHED
tcp 0 0 66.232.145.17:34856 203.233.124.164:9012 ESTABLISHED
tcp 0 0 66.232.145.17:34855 203.233.124.164:9012 ESTABLISHED
tcp 0 0 66.232.145.17:80 211.230.36.84:2532 ESTABLISHED
tcp 0 0 66.232.145.17:80 211.230.36.84:2533 ESTABLISHED
tcp 0 0 66.232.145.17:80 211.230.36.84:2531 ESTABLISHED
tcp 0 0 66.232.145.17:25 211.116.30.136:3361 TIME_WAIT
tcp 0 0 66.232.145.17:80 66.232.145.17:38076 TIME_WAIT
tcp 0 0 66.232.145.17:80 66.249.71.15:47644 TIME_WAIT
tcp 0 0 66.232.145.17:80 68.142.249.189:44675 TIME_WAIT
tcp 0 0 66.232.145.17:110 147.46.224.160:1810 TIME_WAIT
tcp 0 28800 66.232.145.17:80 211.204.192.167:2082 ESTABLISHED
tcp 0 191 66.232.145.17:80 203.241.103.40:4338 ESTABLISHED
tcp 0 191 66.232.145.17:80 203.241.103.40:4336 ESTABLISHED
tcp 0 191 66.232.145.17:80 203.241.103.40:4337 ESTABLISHED
tcp 0 191 66.232.145.17:80 203.241.103.40:4335 ESTABLISHED
tcp 0 1428 66.232.145.17:825 210.125.222.235:1116 ESTABLISHED
tcp 0 24820 66.232.145.17:80 203.241.96.239:1594 ESTABLISHED
tcp 0 1 66.232.145.17:38080 209.67.69.24:25 SYN_SENT
udp 0 0 0.0.0.0:32768 0.0.0.0:*
udp 0 0 0.0.0.0:20000 0.0.0.0:*
udp 0 0 0.0.0.0:161 0.0.0.0:*
udp 0 0 66.232.145.17:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
udp 0 0 0.0.0.0:33232 0.0.0.0:*
udp 0 0 0.0.0.0:33233 0.0.0.0:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 1524 /tmp/mysql.sock
unix 8 [ ] DGRAM 856 /dev/log
unix 3 [ ] STREAM CONNECTED 34898 /tmp/mysql.sock
unix 3 [ ] STREAM CONNECTED 34897
unix 3 [ ] STREAM CONNECTED 34890 /tmp/mysql.sock
unix 3 [ ] STREAM CONNECTED 34889
unix 3 [ ] STREAM CONNECTED 34884 /tmp/mysql.sock
unix 3 [ ] STREAM CONNECTED 34883
unix 2 [ ] STREAM CONNECTED 15142
unix 2 [ ] STREAM CONNECTED 15138
unix 2 [ ] STREAM CONNECTED 15118
unix 2 [ ] STREAM CONNECTED 15093
unix 2 [ ] STREAM CONNECTED 15089
unix 3 [ ] STREAM CONNECTED 15086 /tmp/mysql.sock
unix 3 [ ] STREAM CONNECTED 15085
unix 2 [ ] STREAM CONNECTED 14937
unix 2 [ ] STREAM CONNECTED 14929
unix 2 [ ] STREAM CONNECTED 14925
unix 2 [ ] STREAM CONNECTED 10043
unix 2 [ ] DGRAM 1453
unix 2 [ ] DGRAM 1397
unix 2 [ ] DGRAM 1343
unix 2 [ ] DGRAM 1335
unix 2 [ ] DGRAM 1067
unix 2 [ ] DGRAM 865
find /dev -type f -exec ls -l {} ;
-rwxr-xr-x 1 root root 20553 Apr 11 2002 /dev/MAKEDEV
관련자료
-
이전
-
다음
