질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

/var/log/messages 에 적힌 메시지 분석

작성자 정보

  • 김명수 작성
  • 작성일

컨텐츠 정보

본문

저희 사무실에서 리눅스 서버를 1대 사용하고 있습니다.
오늘 사무실 건물의 관리팀에서 우리 리눅스서버가 건물내의 다른 회사 서버를
공격하고 있다고 전화가 왔습니다. 우리회사 서버의 22번 포트를 통해서.

잘은 모르지만 구글링하다가 /var/log/message파일을 봤습니다.

Jan 26 05:24:55 uxlab sshd[16928]: gethostby*.getanswer: asked for "79-118-115-171.rdsnet.ro IN A", got type "TXT"
Jan 26 05:34:23 uxlab sshd[25903]: Listener created on port 22.
Jan 26 05:34:23 uxlab sshd[25905]: Daemon is running.
Jan 26 05:35:11 uxlab sshd[25911]: gethostby*.getanswer: asked for "79-118-115-171.rdsnet.ro IN A", got type "TXT"
Jan 26 05:35:11 uxlab sshd[25911]: DNS lookup failed for "79.118.115.171".
Jan 26 05:35:13 uxlab sshd[25911]: Local disconnected: Connection closed.
Jan 26 05:35:13 uxlab sshd[25911]: connection lost: 'Connection closed.'
Jan 26 05:37:44 uxlab yum: Installed: screen-4.0.3-12.fc10.i386
Jan 26 05:52:19 uxlab kernel: brute[26051]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]
Jan 26 05:52:20 uxlab kernel: brute[26110]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]
Jan 26 05:52:20 uxlab kernel: brute[26085]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]
Jan 26 05:52:20 uxlab kernel: brute[26064]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]
Jan 26 05:52:20 uxlab kernel: brute[26057]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]
Jan 26 05:52:20 uxlab kernel: brute[26130]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]
Jan 26 05:52:20 uxlab kernel: brute[26081]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]

새벽에 접속해서 뭔가 한가 같은데. 잘 모르겠습니다.
그리고 sshd를 재기동 할려고 했지만 중지가 안됩니다. 어떻게 해야 하는지 좀 알려주시면 감사하겠습니다.
[root@uxlab log]# service sshd restart
sshd 를 정지 중: [실패]
sshd (을)를 시작합니다: sshd: OpenSSH_5.1p1 on i686-pc-linux-gnu
sshd: FATAL: Creating listener failed: port 22 probably already in use!
[실패]

리눅스를 기본적인건만 사용했는데, 막상 해킹을 당했다고 생각하니 뭐를 해야 하는지 몰라서 문의합니다.

관련자료

댓글 2

hoya님의 댓글

  • hoya
  • 작성일
현재 22번 포트를 사용하고 있는 무언가가 있어서 ssh 가 재시작이 안되고 있는거 같습니다.
netstat -nlp 로 22번 포트를 사용하고 있는 데몬이 무엇인가 확인해 보시고, ssh면 강제 종료 및 재시작을 해보시고 (접속이 끈길수 있으니 콘솔에서 하던가 telnet 을 열어두고 하세요)
ssh가 아닌 다른 무언가가 22번을 사용하면 그넘이 범인입니다. 그넘을 kill 로 죽이셔야 하는데, 일단 죽이기 전에 이것저것 정보를 수집해 두셔야 외 이런일이 발생했는지 찾을수 있을거 같습니다.

로그 내용은 잘 몰르겟네요 ;;

로군님의 댓글의 댓글

  • 로군
  • 작성일
안녕하세요? 로쿤 입니다.

우선 위글의 호야님 말씀 대로 sshd 를 죽이시는게 가장 급한듯 합니다.
#netstat -nlp 하시고
tcp        0      0 :::22                      :::*                        LISTEN      1489/sshd
다음과 같은 문구를 찾으셔서 .. sshd 의 PID 1489 를 #kill 1489 하세요. 

log 내용은 다음과 같습니다.

Jan 26 05:52:20 1월 26일 5시 24분 55초경 sxlab 서버 컴퓨터가 sshd[16928] 프로그램이 실행되어 79.118.115.171에 대한 리버스 도메인의 값을 받았다 라는 그런 거랑  그 밑으로 22번 포트를 열고 데몬을 실행 시키고 정보에 대해 DNS looup 이 실행되었다 failed 되고 접속을 끊었다 라고 풀이되는데..

제가 아직 미흡하다 보니 좀 틀린 곳이 있을껍니다. 회사 서버니까 아무래도 빨리 상담을 받아 처리 하시는게 좋지 않을까 생각되네요.

공지사항


뉴스광장


  • 현재 회원수 :  60,081 명
  • 현재 강좌수 :  36,019 개
  • 현재 접속자 :  119 명