서버가 해킹 경로로 사용되고 있다고 한다면?
작성자 정보
- 강한구 작성
- 작성일
컨텐츠 정보
- 2,300 조회
- 1 댓글
- 0 추천
- 목록
본문
다름이 아니오라 저희회사 서버가 다른 서버의 해킹 경로로 이용되고 있다는 연락을 받고 포트를 닫아돌라는 말이 들려서 확인해 보았습니다.
netstat -an | grep LISTEN
tcp 0 0 0.0.0.0:1 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:20034 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:32771 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:32772 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:40421 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:32773 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:32774 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:31337 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6667 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:11 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:5742 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:79 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:15 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:54320 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:2000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 211.233.15.***:22000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:27665 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:1524 0.0.0.0:* LISTEN
tcp 0 0 211.233.15.***:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:119 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:1080 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:12345 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:12346 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:635 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:49724 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:540 0.0.0.0:* LISTEN
unix 2 [ ACC ] STREAM LISTENING 6340 /tmp/mysql.sock
위와같이 나오길래
lsof -i tcp:1 하면
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
portsentr 1323 root 0u IPv4 6279 TCP *:tcpmux (LISTEN)
bash-2.04# kill -9 1323
와 같이 나오길래 모르는것이라서 윗줄과 같이 프로세서를 닫았습니다.
그랬더니
bash-2.04# netstat -an | grep LISTEN
tcp 0 0 0.0.0.0:21000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 211.233.15.###:22000 0.0.0.0:* LISTEN
tcp 0 0 211.233.15.###:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
unix 2 [ ACC ] STREAM LISTENING 6340 /tmp/mysql.sock
와 같이 되는군요...
다른 서버의 해킹경로로 사용되어지고 있다는 말이 무슨 말인지를 잘모르겠습니다.
그리고 위와 같은 현상이 주기적으로 발생하는데 해결방안이 없을까요?
관련자료
-
이전
-
다음
김훈님의 댓글
- 김훈
- 작성일
확인해 보시기 바랍니다.
위의 로그로 보았을때는 아래 어떤분이 말씀해 주셨듯이 portsentry란 프로그램이
동작하는것으로 보이네요. portsentry는 설정에서 차단하고자 하는 포트를 등록해
놓으면 해당 포트를 open해둡니다. (그래서 포트가 많이 떠있는것 처럼 보이지요)
그리고 만일 누군가가 그 포트로 접근을 시도하면, 접근을 시도하는 아이피를 차단하
는 것입니다.
위의 로그는 정상입니다. 만일 해킹경로로 사용되어지고 있다면,
21000 포트나 혹은 22000 포트에서 동작하는 프로그램을 먼저 살펴보시구요..
그다음 /var/log/의 로그들을 확인해 보시기 바랍니다.
그리고 메일포트는 25번만 내부에서만 응답하도록 되어 있으니, 중지를 시키시는게
좋고, 23번 대신 22(ssh)를 사용하시라고 권해 드립니다.
그리고 보면...시스템 패치를 주기적으로 안하실듯 합니다.
패치를 주기적으로 해주시기 바랍니다.
