질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

/var/log/messages 에 적힌 메시지 분석

작성자 정보

  • 김명수 작성
  • 작성일

컨텐츠 정보

본문

최저가 서버호스팅 제공 : 85,000원/월

저희 사무실에서 리눅스 서버를 1대 사용하고 있습니다.
오늘 사무실 건물의 관리팀에서 우리 리눅스서버가 건물내의 다른 회사 서버를
공격하고 있다고 전화가 왔습니다. 우리회사 서버의 22번 포트를 통해서.

잘은 모르지만 구글링하다가 /var/log/message파일을 봤습니다.

Jan 26 05:24:55 uxlab sshd[16928]: gethostby*.getanswer: asked for "79-118-115-171.rdsnet.ro IN A", got type "TXT"
Jan 26 05:34:23 uxlab sshd[25903]: Listener created on port 22.
Jan 26 05:34:23 uxlab sshd[25905]: Daemon is running.
Jan 26 05:35:11 uxlab sshd[25911]: gethostby*.getanswer: asked for "79-118-115-171.rdsnet.ro IN A", got type "TXT"
Jan 26 05:35:11 uxlab sshd[25911]: DNS lookup failed for "79.118.115.171".
Jan 26 05:35:13 uxlab sshd[25911]: Local disconnected: Connection closed.
Jan 26 05:35:13 uxlab sshd[25911]: connection lost: 'Connection closed.'
Jan 26 05:37:44 uxlab yum: Installed: screen-4.0.3-12.fc10.i386
Jan 26 05:52:19 uxlab kernel: brute[26051]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]
Jan 26 05:52:20 uxlab kernel: brute[26110]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]
Jan 26 05:52:20 uxlab kernel: brute[26085]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]
Jan 26 05:52:20 uxlab kernel: brute[26064]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]
Jan 26 05:52:20 uxlab kernel: brute[26057]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]
Jan 26 05:52:20 uxlab kernel: brute[26130]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]
Jan 26 05:52:20 uxlab kernel: brute[26081]: segfault at 0 ip 08048e33 sp bfa08c00 error 4 in brute[8048000+cd000]

새벽에 접속해서 뭔가 한가 같은데. 잘 모르겠습니다.
그리고 sshd를 재기동 할려고 했지만 중지가 안됩니다. 어떻게 해야 하는지 좀 알려주시면 감사하겠습니다.
[root@uxlab log]# service sshd restart
sshd 를 정지 중: [실패]
sshd (을)를 시작합니다: sshd: OpenSSH_5.1p1 on i686-pc-linux-gnu
sshd: FATAL: Creating listener failed: port 22 probably already in use!
[실패]

리눅스를 기본적인건만 사용했는데, 막상 해킹을 당했다고 생각하니 뭐를 해야 하는지 몰라서 문의합니다.

국내 최저가 네이버클라우드 서버 제공 : 88,000원/월

관련자료

댓글 2

hoya님의 댓글

  • hoya
  • 작성일
현재 22번 포트를 사용하고 있는 무언가가 있어서 ssh 가 재시작이 안되고 있는거 같습니다.
netstat -nlp 로 22번 포트를 사용하고 있는 데몬이 무엇인가 확인해 보시고, ssh면 강제 종료 및 재시작을 해보시고 (접속이 끈길수 있으니 콘솔에서 하던가 telnet 을 열어두고 하세요)
ssh가 아닌 다른 무언가가 22번을 사용하면 그넘이 범인입니다. 그넘을 kill 로 죽이셔야 하는데, 일단 죽이기 전에 이것저것 정보를 수집해 두셔야 외 이런일이 발생했는지 찾을수 있을거 같습니다.

로그 내용은 잘 몰르겟네요 ;;

로군님의 댓글의 댓글

  • 로군
  • 작성일
안녕하세요? 로쿤 입니다.

우선 위글의 호야님 말씀 대로 sshd 를 죽이시는게 가장 급한듯 합니다.
#netstat -nlp 하시고
tcp        0      0 :::22                      :::*                        LISTEN      1489/sshd
다음과 같은 문구를 찾으셔서 .. sshd 의 PID 1489 를 #kill 1489 하세요. 

log 내용은 다음과 같습니다.

Jan 26 05:52:20 1월 26일 5시 24분 55초경 sxlab 서버 컴퓨터가 sshd[16928] 프로그램이 실행되어 79.118.115.171에 대한 리버스 도메인의 값을 받았다 라는 그런 거랑  그 밑으로 22번 포트를 열고 데몬을 실행 시키고 정보에 대해 DNS looup 이 실행되었다 failed 되고 접속을 끊었다 라고 풀이되는데..

제가 아직 미흡하다 보니 좀 틀린 곳이 있을껍니다. 회사 서버니까 아무래도 빨리 상담을 받아 처리 하시는게 좋지 않을까 생각되네요.
목록

공지사항

뉴스광장

  • 현재 회원수 :  60,034 명
  • 현재 강좌수 :  35,787 개
  • 현재 접속자 :  230 명