리눅스 분류
/var/log/messages에 이런 수상한 로그가....
작성자 정보
- 뒈지문 작성
- 작성일
컨텐츠 정보
- 2,423 조회
- 0 추천
- 목록
본문
서버가 MRTG를 보면 다운로드 트래픽이 풀로 치닫으며 다운되는 현상을 만났습니다.
messages 를 열어서 다운되는 시점의 로그만 모아다가 밑에 붙여넣기 하였습니다.
실제는 아래보다 내용이 더 많습니다. 발신지 IP 주소도 여러개 되고요. DST 부분의 서버 IP는 자체 필터링하였습니다.
맥어드레스는 서버의 맥어드레스입니다.
Sep 21 05:37:01 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=7601 PROTO=TCP SPT=1723 DPT=30151 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 05:47:39 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=57095 PROTO=TCP SPT=1723 DPT=19789 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 05:51:37 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=52363 PROTO=TCP SPT=1723 DPT=29916 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 05:54:29 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=19622 PROTO=TCP SPT=1723 DPT=17787 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 05:56:25 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=8410 PROTO=TCP SPT=1723 DPT=46348 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 05:57:54 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=24801 PROTO=TCP SPT=1723 DPT=40611 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 06:00:19 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=18391 PROTO=TCP SPT=1723 DPT=9457 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 06:12:29 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=16299 PROTO=TCP SPT=1723 DPT=23285 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 06:17:23 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=12379 PROTO=TCP SPT=1723 DPT=25019 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 06:18:25 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=6294 PROTO=TCP SPT=1723 DPT=42449 WINDOW=8190 RES=0x00 ACK SYN URGP=0
이런 패턴의 로그인데 혹시 침입과 관련된 로그일까요?
그리고 좀 의아한 것이 발신지 IP 중에는 모니터링을 하고 있는 서버관리자의 데스크탑 IP도 포함되어 있다는 것입니다.
서버 사양은 펜4 2.4A 프레스캇에 메모리 1기가이고 사이트가 좀 많은 서버입니다. 쇼핑몰도 2-3개 가량 돌아가고 있고요.
messages 를 열어서 다운되는 시점의 로그만 모아다가 밑에 붙여넣기 하였습니다.
실제는 아래보다 내용이 더 많습니다. 발신지 IP 주소도 여러개 되고요. DST 부분의 서버 IP는 자체 필터링하였습니다.
맥어드레스는 서버의 맥어드레스입니다.
Sep 21 05:37:01 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=7601 PROTO=TCP SPT=1723 DPT=30151 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 05:47:39 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=57095 PROTO=TCP SPT=1723 DPT=19789 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 05:51:37 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=52363 PROTO=TCP SPT=1723 DPT=29916 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 05:54:29 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=19622 PROTO=TCP SPT=1723 DPT=17787 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 05:56:25 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=8410 PROTO=TCP SPT=1723 DPT=46348 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 05:57:54 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=24801 PROTO=TCP SPT=1723 DPT=40611 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 06:00:19 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=18391 PROTO=TCP SPT=1723 DPT=9457 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 06:12:29 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=16299 PROTO=TCP SPT=1723 DPT=23285 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 06:17:23 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=12379 PROTO=TCP SPT=1723 DPT=25019 WINDOW=8190 RES=0x00 ACK SYN URGP=0
Sep 21 06:18:25 localhost kernel: INVALID DROPIN=eth0 OUT= MAC=00:13:8f:50:df:91:00:d0:cb:25:4e:7b:08:00 SRC=203.192.139.40 DST=xx.xx.xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=6294 PROTO=TCP SPT=1723 DPT=42449 WINDOW=8190 RES=0x00 ACK SYN URGP=0
이런 패턴의 로그인데 혹시 침입과 관련된 로그일까요?
그리고 좀 의아한 것이 발신지 IP 중에는 모니터링을 하고 있는 서버관리자의 데스크탑 IP도 포함되어 있다는 것입니다.
서버 사양은 펜4 2.4A 프레스캇에 메모리 1기가이고 사이트가 좀 많은 서버입니다. 쇼핑몰도 2-3개 가량 돌아가고 있고요.
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
