질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

[AIX 5.3] httpd 공격인데 막는 방법좀 가르쳐 주세요

작성자 정보

  • 홍석범 작성
  • 작성일

컨텐츠 정보

본문

안녕하십니까?씨디네트웍스 홍석범입니다.

일단 올려주신 내용만으로 보았을때는 공격이라 단정지을 수 있는 항목이 없는것 같습니다.
먼저 strace -p pid로 해당 프로세스에 대해 분석해 보시기 바랍니다.
그리고, 오라클DB와 연동된 부분이므로

-. 프로그램내부에서 루핑이 도는 부분은 없는지
-. 과도한 job을 처리하는 프로세스는 없는지
    (이를테면 한 디렉토리에 엄청난 양의 파일을 검색하는등)
-. apache/php/oracle 연동상의 문제는 없는지(재컴파일등)

등을 점검해 보시기 바랍니다.  

감사합니다.

신호성 님의 글


 

사용서버 : IBM POWER PC
OS 버젼 : AIX 5.3
 
저희가 aix 서버에 A P O를 셋팅해서 웹서비스를 하고 있습니다. 
 
그런데 어느 순간부터 다음 과 같은 증상이 나타나고 웹서비스를 하는데 어려움이 많습니다. 
 
1. topas 상에서 httpd 특정 프로세서가 cpu 점유율을 50%가까이 차지 합니다. 
2. 그 프로세서에 대해 알아 볼려고 lsof를 하면 특정 아이피는 나오는데 무엇 때문에 cpu 점유율이 그렇게 올라가는지 정확하게 파악을 못 하겠습니다. 
3. 결국은 프로세서를 강제로 죽이지 않고 그 냥 내버려 두면 어느 순간 php Oracle 연결 에러가 납니다. 
에러 내용 : [Mon Dec 15 16:56:08 2008] [error] [client 147.46.201.230] PHP Warning:  ocilogon() [function.ocilogon]: OCISessionBegin: ORA-00604: error occurred at recursive SQL level 1 ORA-02248: invalid option for ALTER SESSION in /WEB/foodjoa_co_kr/www/common/dbconn.php on line 44, referer: http://www.foodjoa.co.kr/
 
제가 알고 싶은 것은 다음과 같습니다. 
1. 위의 공격 방법을 알아낼 수 있는 명령어를 조금 자세하게 알려 주십시오.  아직은 유닉스 초보라.. 
2. 저런 공격을 효율적으로 막을 수 있는 방법은 무엇인지 알려 주시길 바랍니다. 
3. lsof 내용을 해석 하는 방법을 좀 알려 주세요.
 
참고로 그 당시 캡쳐 이미지를 올립니다.  이미지가 잘 안올라가서 첨부로 올립니다.   

 
 


 


 

관련자료

댓글 2

신호성님의 댓글

  • 신호성
  • 작성일
답변 감사합니다.  strace -p Pid 를 치면 사용법: strace [mid sid level] .. 이렇게 나옵니다.  아무래도 AIX 기본 명령어와 홍석범님이 가르쳐 주신 명령어가 서로 다는 명령어가 아닌가 생각됩니다. 
그리고 일반적으로 httpd 특정 프로세서가 cpu 점유율을 차지할때는 아파치로그에 남는것으로 알고 있습니다.  하지만 아파치 로그를 아무리 분석해 보아도 cpu를 그렇게 많이 차지할만한 특정 url 주소를 찾을 수 없었습니다.

일단, strace 명령어에 대해 좀더 검색한 후에 서버에 대해 분석하겠습니다. 

홍석범님의 댓글

  • 홍석범
  • 작성일
안녕하세요..

만약, POST Method로 특정 쿼리를 하는 프로세스를 진행한다면
로그에는 POST 파일이름만 남게 되므로 당연히 알 수 없게 됩니다.
따라서 많은 cpu를 차지할 때 strace등으로 현재의 상태를 파악하여야 합니다.


목록

공지사항

뉴스광장

  • 현재 회원수 :  60,300 명
  • 현재 강좌수 :  36,966 개
  • 현재 접속자 :  388 명