질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

해커들 공격, 이럴땐 어떡하죠...

작성자 정보

  • 완전패닉 작성
  • 작성일

컨텐츠 정보

본문

엊그제 IDC에 웹서버를 들여놓았습니다. 그런데 들여놓자 마자, 이런 메일이 날라들어왔습니다. 이거 모두 해커들 공격이었던 거 같은데, 정말 장난아니네요.
일단 원격접속은 sshd만 열어둔 상태고, 웹서버, DB서버만 허용한 상태입니다.
어쩜 좋을까요...
이렇게 마구마구 공격들어오는게 정상인 건 가요?
그리고 이런 보안관련 메일 날아오게 해주는게 sshd 데몬이 해주는 건가요?

서버를 공인망에 두자마자 이런 일이 발생하다니, 정말 앞으로 서버관리 어떻게 할지 겁나네요.

 --------------------- pam_unix Begin ------------------------
 
 sshd:
    Authentication Failures:
       root (218.244.144.232): 66 Time(s)
       unknown (86.64.233.78): 46 Time(s)
       root (86.64.233.78): 32 Time(s)
       mysql (86.64.233.78): 2 Time(s)
       chatclub (192.168.0.2): 1 Time(s)
       root (192.168.0.5): 1 Time(s)
    Invalid Users:
       Unknown Account: 46 Time(s)
 
 su-l:
    Unknown Entries:
       session closed for user root: 6 Time(s)
       session opened for user root by chatclub(uid=501): 5 Time(s)
       session opened for user root by (uid=0): 1 Time(s)
 
 
 ---------------------- pam_unix End -------------------------

 
 --------------------- pam_unix Begin ------------------------
 
 Failed logins from:
    58.241.84.40: 7 times
 
 Illegal users from:
    58.241.84.40: 3 times
 

 sshd:
    Authentication Failures:
       unknown (211.66.128.125): 353 Time(s)
       root (211.100.4.114): 198 Time(s)
       root (123.242.229.176): 107 Time(s)
       unknown (123.242.229.176): 78 Time(s)
       root (211.66.128.125): 17 Time(s)
       games (211.66.128.125): 2 Time(s)
       news (211.66.128.125): 2 Time(s)
       nobody (211.66.128.125): 2 Time(s)
       ntp (211.66.128.125): 2 Time(s)
       operator (211.66.128.125): 2 Time(s)
       sync (211.66.128.125): 2 Time(s)
       uucp (211.66.128.125): 2 Time(s)
       adm (211.66.128.125): 1 Time(s)
       apache (211.66.128.125): 1 Time(s)
       bin (211.66.128.125): 1 Time(s)
       daemon (211.66.128.125): 1 Time(s)
       dbus (211.66.128.125): 1 Time(s)
       ftp (123.242.229.176): 1 Time(s)
       ftp (211.66.128.125): 1 Time(s)
       gdm (211.66.128.125): 1 Time(s)
       gopher (211.66.128.125): 1 Time(s)
       halt (211.66.128.125): 1 Time(s)
       lp (211.66.128.125): 1 Time(s)
       mail (211.66.128.125): 1 Time(s)
       mailnull (211.66.128.125): 1 Time(s)
       mysql (123.242.229.176): 1 Time(s)
       mysql (211.66.128.125): 1 Time(s)
       named (211.66.128.125): 1 Time(s)
       nfsnobody (211.66.128.125): 1 Time(s)
       nscd (211.66.128.125): 1 Time(s)
       pcap (211.66.128.125): 1 Time(s)
       rpc (211.66.128.125): 1 Time(s)
       rpcuser (211.66.128.125): 1 Time(s)
       rpm (211.66.128.125): 1 Time(s)

 


 Failed logins from:
    123.242.229.176 (123-242-229-176.gigahostdatacentre.com): 109 times
    211.66.128.125: 58 times
    211.100.4.114: 198 times
 
 Illegal users from:
    58.252.71.21: 1 time
    123.242.229.176 (123-242-229-176.gigahostdatacentre.com): 78 times
    211.66.128.125: 353 times
 
 Users logging in through sshd:
    chatclub:
       124.57.189.5: 9 times
       218.238.48.153: 7 times
 
 
 Received disconnect:
    0:  : 1 Time(s)
    11: Bye Bye : 797 Time(s)
 
 SFTP subsystem requests: 3 Time(s)
 
 **Unmatched Entries**
 pam_succeed_if(sshd:auth): error retrieving information about user bigfoot : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user ortese : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user max1 : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user cw : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user scp : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user kons : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user tifany : 2 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user oracle : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user sex : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user star : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user brian : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user delia : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user staff : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user pm : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user world : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user go : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user www : 2 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user anny : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user gerry : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user flood : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user site : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user maex : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user assh : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user julius : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user tifani : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user stadtmusik : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user barni : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user scooby : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user put : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user vipers : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user spawn : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user test : 21 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user george : 1 time(s)
  ....

관련자료

댓글 3

김주완님의 댓글

  • 김주완
  • 작성일
음...한달간 idc업체에 있었는데...(힘들어서 그만두었지만) 보통 dos 공격이
저녁 8시 이후에 많고요..... 요즘 dos 공격이 보통 dns에서 오더군요.....
그리고 장애가 나면 iptable 로 ip막아주고요...만약에 kt의 해화 에서 dns에 해당되는 ip를 막아버리면 대책이 없네요...... 그리고 매일 같은회사서 같은 종류의
장애처리가 많더군요.....
그리고 웃긴건 일반 사이트 들은 괜챦은데 화상채팅 사이트는 매일 장애 처리가 들어온다고 생각하시면 되요.....
황당한건...어느 지역은 되는데 어느 지역이 안된다고 하는 장애도 있어요....

이건상님의 댓글

  • 이건상
  • 작성일
ㅎㅎ
이거는 ssh brute-force/무차별대입공격/사전공격.. 뭐 이렇게 불려지는 종류이지요
ssh에서 root 로그인을 막아서 일반 사용자만 로그인을 하게 하구요
id 와 passwd 를 길고 어렵게 (알파벳 소/대문자 + 숫자 + 특수문자)를 써서 생성을 한다면 이런 공격은 어느정도 방어가 되구요 (어쩌면 이 방법이 젤 중요하긴하죠)

아님 TCPWRAPPER 나 IPTABLES 에서 SSHD 에 대해서 사용할 IP만 열고 나머진 모두 막는 방법이죠 (젤 쉽고, 간단하면서 보안은 탄탄하죠..

안그럼 ssh 서비스 포트를 tcp/22번이 아닌 다른 포트로 변경만 해 줘도 저런 멧세지는 확실히 많이 줄어요
가령 tcp/1022 라든가 하는... (효용성은 좋죠.. )

그 다음으로 클리핑 레벨이라는 보안 방법이 있긴 합니다만... (잘 사용은 안하죠)
뭔고 하니 몇번 로그인을 실패하면 얼마 기간동안 로그인 시도를 못하게 하는 방법이죠..


공격을 시도했던 IP를 막는 방법은 실시간으로 탐지가 되면 모를까 끝난 이후에는 막아도 그다지 효용성이 없습니다..
저런짓을 하는 해커님은 짱구가 아니거든요..
프록시를 타고 올수도 있고 IP를 바꿔서 들어 올수도 있고 다른 우회 방법이 많이 있기 때문이지요..

답변이 되셨기를 바라구요...

질문자님의 의도하지 않은 답변이었다면 좀더 구체적인 질문을 해 주심 답변을 또 드리지요

참.. 이게 메일로 날아 온다고 했나요?
메일로 날아오는거는 어떻게 설정하셨냐에 따라 달라질수 있으니 잘 모르겠구요
혹시 spool에 있는 mail인가요?
보이는걸로 봐서는 그런것 같기도 하고...

여튼 철저한 보안으로 해킹경유지 1위의 오명을 벗어납시다..ㅎㅎ

조준성님의 댓글

  • 조준성
  • 작성일
아 감사합니다. 이런 공격들이 빈번히 발생하는 거군요... 보안서적 탐독중입니다.

공지사항


뉴스광장


  • 현재 회원수 :  60,016 명
  • 현재 강좌수 :  35,688 개
  • 현재 접속자 :  208 명