해커들 공격, 이럴땐 어떡하죠...
작성자 정보
- 홍석범 작성
- 작성일
컨텐츠 정보
- 3,036 조회
- 0 추천
- 목록
본문
안녕하십니까? 오늘과내일의 홍석범입니다.
http://www.krcert.or.kr/index.jsp 에 접속하시면 우측에 윈도우 생존시간이라는 것이 있습니다. 약 40분 정도 소요되는데로.. 리눅스도 마찬가지입니다.. 리눅스의 경우 3년전부터 유행하고 있는 ssh(22/tcp)에 대한 brute force 공격이 매우 심각합니다.. 이에 대해서는 많은 분들이 오랫동안 질문해 주셨기에 여기 게시판에서 ssh등으로 검색해 보시면 다양한 대응방법을 참고하실 수 있습니다.
역시 가장 좋은 방법은 iptables로 22/tcp 자체에 대하여 특정 ip만 허용하고 나머지는 차단하는 방법입니다.
참고하시기 바라며 받으셨다던 메일은 /etc/cron.daily에 보시면 00-logwatch라는 스크립트가 있는데, 바로 logwatch라는 프로그램이 매일 시스템 로그를 분석하여 메일로 알려주는 내용입니다.
감사합니다.
완전패닉 님의 글
엊그제 IDC에 웹서버를 들여놓았습니다. 그런데 들여놓자 마자, 이런 메일이 날라들어왔습니다. 이거 모두 해커들 공격이었던 거 같은데, 정말 장난아니네요.
일단 원격접속은 sshd만 열어둔 상태고, 웹서버, DB서버만 허용한 상태입니다.
어쩜 좋을까요...
이렇게 마구마구 공격들어오는게 정상인 건 가요?
그리고 이런 보안관련 메일 날아오게 해주는게 sshd 데몬이 해주는 건가요?
서버를 공인망에 두자마자 이런 일이 발생하다니, 정말 앞으로 서버관리 어떻게 할지 겁나네요.
--------------------- pam_unix Begin ------------------------
sshd:
Authentication Failures:
root (218.244.144.232): 66 Time(s)
unknown (86.64.233.78): 46 Time(s)
root (86.64.233.78): 32 Time(s)
mysql (86.64.233.78): 2 Time(s)
chatclub (192.168.0.2): 1 Time(s)
root (192.168.0.5): 1 Time(s)
Invalid Users:
Unknown Account: 46 Time(s)
su-l:
Unknown Entries:
session closed for user root: 6 Time(s)
session opened for user root by chatclub(uid=501): 5 Time(s)
session opened for user root by (uid=0): 1 Time(s)
---------------------- pam_unix End -------------------------
--------------------- pam_unix Begin ------------------------
Failed logins from:
58.241.84.40: 7 times
Illegal users from:
58.241.84.40: 3 times
sshd:
Authentication Failures:
unknown (211.66.128.125): 353 Time(s)
root (211.100.4.114): 198 Time(s)
root (123.242.229.176): 107 Time(s)
unknown (123.242.229.176): 78 Time(s)
root (211.66.128.125): 17 Time(s)
games (211.66.128.125): 2 Time(s)
news (211.66.128.125): 2 Time(s)
nobody (211.66.128.125): 2 Time(s)
ntp (211.66.128.125): 2 Time(s)
operator (211.66.128.125): 2 Time(s)
sync (211.66.128.125): 2 Time(s)
uucp (211.66.128.125): 2 Time(s)
adm (211.66.128.125): 1 Time(s)
apache (211.66.128.125): 1 Time(s)
bin (211.66.128.125): 1 Time(s)
daemon (211.66.128.125): 1 Time(s)
dbus (211.66.128.125): 1 Time(s)
ftp (123.242.229.176): 1 Time(s)
ftp (211.66.128.125): 1 Time(s)
gdm (211.66.128.125): 1 Time(s)
gopher (211.66.128.125): 1 Time(s)
halt (211.66.128.125): 1 Time(s)
lp (211.66.128.125): 1 Time(s)
mail (211.66.128.125): 1 Time(s)
mailnull (211.66.128.125): 1 Time(s)
mysql (123.242.229.176): 1 Time(s)
mysql (211.66.128.125): 1 Time(s)
named (211.66.128.125): 1 Time(s)
nfsnobody (211.66.128.125): 1 Time(s)
nscd (211.66.128.125): 1 Time(s)
pcap (211.66.128.125): 1 Time(s)
rpc (211.66.128.125): 1 Time(s)
rpcuser (211.66.128.125): 1 Time(s)
rpm (211.66.128.125): 1 Time(s)
Failed logins from:
123.242.229.176 (123-242-229-176.gigahostdatacentre.com): 109 times
211.66.128.125: 58 times
211.100.4.114: 198 times
Illegal users from:
58.252.71.21: 1 time
123.242.229.176 (123-242-229-176.gigahostdatacentre.com): 78 times
211.66.128.125: 353 times
Users logging in through sshd:
chatclub:
124.57.189.5: 9 times
218.238.48.153: 7 times
Received disconnect:
0: : 1 Time(s)
11: Bye Bye : 797 Time(s)
SFTP subsystem requests: 3 Time(s)
**Unmatched Entries**
pam_succeed_if(sshd:auth): error retrieving information about user bigfoot : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user ortese : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user max1 : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user cw : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user scp : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user kons : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user tifany : 2 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user oracle : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user sex : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user star : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user brian : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user delia : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user staff : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user pm : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user world : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user go : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user www : 2 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user anny : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user gerry : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user flood : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user site : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user maex : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user assh : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user julius : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user tifani : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user stadtmusik : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user barni : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user scooby : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user put : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user vipers : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user spawn : 1 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user test : 21 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user george : 1 time(s)
....
관련자료
-
이전
-
다음
