현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

웹서버, FTP서버를 구축된뒤 내부내트워크의 인터넷이 기어갑니

drops02의 이미지
글쓴이: drops02 / 작성시간: 월, 2004/05/31 - 5:31오후

간단한 정황을 이야기 하면..
공인IP를 얻기위해 게임방에 서버를 설치하고 파일을 올리기 위해
proFTP서버와 APM서버를 설치했고 원격으로 관리를 하기 위해
openssh를 설치 했습니다.

그런데.. 서버를 설치한뒤 일주일 가량 지나서부터 조금씩 내부
내트웍이 느려지기 시작하고 급기야 지금은 1M짜리 회선이라고
한다면 대략 128k정도로 회선 속도가 안나오길레 게임방의 허브
를 리셋시키면서 웹서버의 랜포트를 빼버리니까 내부에서 인터넷
하는 속도가 빨라 졌다고 합니다. (그래서 결국 서버를 빼내는
상황이 된거지요.)

내부에 설치됀 다른 데몬들은 외부로 신호를 보내거나 하는 게
없는것 같은데..

어쩨서 이런일이 생긴 걸까요?

짐작컨데 ftp서버에 웜바이러스가 접속 시도를 하는게 트래픽
발생을 시키는게 아닌가 싶은데... 이미 빼버린 서버라서 ping
을 되돌려주지 않는 설정도 못해보고 아무런 설정도 못해보는
상황입니다.

이런 경우 격어보신분 있으시면 답변좀 주세요. 이제막 요것조것
해보면서 재미 붙었던 시기인데.. 매우 난감하네요.

행복하세요.

Forums: 
설치 및 활용 QnA
jedi의 이미지

글쓴이: jedi / 작성시간: 월, 2004/05/31 - 5:45오후

일주일이 지난 다음에 느려졌다면 해킹 당한것 아닐까 합니다.

저는 수년동안 게임방에서 운영 중이지만 문제가 없습니다.

각종 log를 살펴보시면 답이 보이지 않을까 합니다.

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년

drops02의 이미지

글쓴이: drops02 / 작성시간: 월, 2004/05/31 - 8:25오후

로그를 봐야 한다면 /var/log 안의 내용 외에 어디를 더 바야 하나요?

( 웹서버 운영한지 얼마 안되서 여기저기 의심만 자꾸하게 되는군요. )

감사합니다.

머리는 느려지고 늘어가는건 담배 꽁초 수..

jw0717의 이미지

글쓴이: jw0717 / 작성시간: 월, 2004/05/31 - 11:03오후

drops02 wrote:
로그를 봐야 한다면 /var/log 안의 내용 외에 어디를 더 바야 하나요?

( 웹서버 운영한지 얼마 안되서 여기저기 의심만 자꾸하게 되는군요. )

감사합니다.

저같은경우.. 이런현상이 발생했다면.

아파치로그 (access.log, error.log 가끔가다가 코드레드윔에 걸린 클라이언트에서 웹서버로 접속하죠..) , ftp로그 top, ps -ef 로 해서

리소스및 프로세스 확인 , netstat 로 네트웍 확인 그리고 백도어등 기타 해킹이의심된다면..

chkrootkit으로 돌려보겠습니다.

그리고 네트워크에 할당되는 메모리 설정도 좀 바꿔보겠구요..

그도 저도 안되면 밀겠죠.. :oops:

혹시 대박날려고 트래픽이 폭주하는건 아닐까요? :lol:

drops02의 이미지

글쓴이: drops02 / 작성시간: 화, 2004/06/01 - 1:32오후

검은별 wrote:

http://linux-sarang.net/board/?p=read&table=tip&no=7109&page=&o[at]=s&o[sc]=t&o[ss]=%B4%C0%B7%C1&o[st]=a

redhat 7.3 설치후 네트웍 느려지는 현상


글쓴이: 검은별 글쓴날: 2002-08-17 15:16:52 읽은수: 859 <+>
: redhat 7.2 -> redhat 7.3으로 up-grade하고 나서
: 네트웍 속도가 엄청나게 느려졌습니다.
:
: 한국 통신 B&A 를 사용중입니다.
:
: 고수님들 도와 주세요.
:
: 네트워크 관련 툴주에 그림으로 트레픽을 표시해주는 거 있잖습니다까
: 그거로 보면 녹색줄 반에 빨간줄이 반이 나옵니다.
: 일단 빨간게 보이니 뭔가 문제가 있는것 같은데 말입니다.
:
: 무식한 소리해서 죄송합니다. 초보다 보니..

커널 버전 2.4.18의 pcnet32 드라이버에 문제가 있다고 합니다.
레드햇 뿐이아니라 수세의 경우도 같은 증상이 있었는데 수세는 FTP에
수정한 드라이버를 올려 놓았더군요. 커널을 새로 컴파일하시면 될지
모르겠네요.

--
슬랙웨어는 잘 됐던것 같군요...

제가 설치한 환경과 가장 비슷하고 문제또한 비슷하고 rehat 7.3에 그런
문제가 있다고 하니 확인작업을 해야 되겠습니다.
혹시 정보 가지신분 없으신지.. 몇개월 넘도록 kldp게시판에서 이런 내용
을 못본것 같아서 관련 검색을 해봐야 알겠지만.. 레드헷 7.3-2.4-18커널
에 'pcnet32 드라이버'가 문제가 있다니.. 초보라 그런건지 전혀 모르고 있었네요. (영어도 잘 알아 보지도 못하고..)

수고하세요.

머리는 느려지고 늘어가는건 담배 꽁초 수..

drops02의 이미지

글쓴이: drops02 / 작성시간: 수, 2004/06/02 - 5:07오후

/var/log/message
의내용 중에 이런 내용이 종종 보이더군요.
해킹 당한것일까요? 웜이라고 판단하고 무시했었는데..
로그를 안일하게 보고 있었던 제가 문제가 있었던 듯 하기도 하고..

지금은 알고 싶은것이 저 공격이 어떤 것을 의미하는지 알 수 없습니다.
그저 페이지 로드를 많이해서 서버를 다운시키는 것 이외에 다른 의미가
있는가요?
---------------

May 19 23:57:37 ns1 proftpd: proftpd startup succeeded
May 19 23:57:37 ns1 proftpd[533]: ns1.dtype.net - ProFTPD 1.2.1 (release) (built Mon Mar 5 22:39:06 CET 2001) standalone mode STARTUP
May 20 02:46:35 ns1 proftpd[610]: ns1.dtype.net (host29-14.pool8249.interbusiness.it[82.49.14.29]) - FTP session opened.
May 20 02:46:35 ns1 proftpd[610]: ns1.dtype.net (host29-14.pool8249.interbusiness.it[82.49.14.29]) - FTP session closed.
May 20 02:46:36 ns1 proftpd[611]: ns1.dtype.net (host29-14.pool8249.interbusiness.it[82.49.14.29]) - FTP session opened.
May 20 02:46:36 ns1 proftpd[611]: ns1.dtype.net (host29-14.pool8249.interbusiness.it[82.49.14.29]) - FTP session closed.
May 20 02:46:42 ns1 proftpd[612]: ns1.dtype.net (host29-14.pool8249.interbusiness.it[82.49.14.29]) - FTP session opened.
May 20 02:46:42 ns1 proftpd[612]: ns1.dtype.net (host29-14.pool8249.interbusiness.it[82.49.14.29]) - FTP session closed.
May 20 02:46:53 ns1 proftpd[613]: ns1.dtype.net (host29-14.pool8249.interbusiness.it[82.49.14.29]) - FTP session opened.
May 20 02:46:53 ns1 proftpd[613]: ns1.dtype.net (host29-14.pool8249.interbusiness.it[82.49.14.29]) - FTP session closed.
May 20 02:47:17 ns1 proftpd[614]: ns1.dtype.net (host29-14.pool8249.interbusiness.it[82.49.14.29]) - FTP session opened.
May 20 02:47:17 ns1 proftpd[614]: ns1.dtype.net (host29-14.pool8249.interbusiness.it[82.49.14.29]) - FTP session closed.

-----------------------

May 23 04:58:43 ns1 proftpd[1014]: ns1.dtype.net (ip65-164-24-37.vtours.digitalwest.net[65.164.24.37]) - FTP session opened.
May 23 04:58:43 ns1 proftpd[1014]: ns1.dtype.net (ip65-164-24-37.vtours.digitalwest.net[65.164.24.37]) - ftp: Directory ~ftp/ is not accessible.
May 23 04:59:04 ns1 proftpd[1014]: ns1.dtype.net (ip65-164-24-37.vtours.digitalwest.net[65.164.24.37]) - FTP session closed.
May 24 00:16:49 ns1 proftpd[1036]: ns1.dtype.net (ip-56.net-81-220-159.grenoble.rev.numericable.fr[81.220.159.56]) - FTP session opened.
May 24 00:16:49 ns1 proftpd[1036]: ns1.dtype.net (ip-56.net-81-220-159.grenoble.rev.numericable.fr[81.220.159.56]) - ftp: Directory ~ftp/ is not accessible.
May 24 00:16:50 ns1 proftpd[1036]: ns1.dtype.net (ip-56.net-81-220-159.grenoble.rev.numericable.fr[81.220.159.56]) - FTP session closed.
May 24 04:54:35 ns1 proftpd[1042]: ns1.dtype.net (dsl-082-082-145-215.arcor-ip.net[82.82.145.215]) - FTP session opened.
May 24 04:54:35 ns1 proftpd[1041]: ns1.dtype.net (dsl-082-082-145-215.arcor-ip.net[82.82.145.215]) - FTP session opened.
May 24 04:54:36 ns1 proftpd[1042]: ns1.dtype.net (dsl-082-082-145-215.arcor-ip.net[82.82.145.215]) - no such user 'test'
May 24 04:54:36 ns1 last message repeated 4 times
May 24 04:54:36 ns1 proftpd[1042]: ns1.dtype.net (dsl-082-082-145-215.arcor-ip.net[82.82.145.215]) - USER test (Login failed): Can't find user.
May 24 04:54:36 ns1 proftpd[1042]: ns1.dtype.net (dsl-082-082-145-215.arcor-ip.net[82.82.145.215]) - FTP session closed.
May 24 04:54:37 ns1 proftpd[1043]: ns1.dtype.net (dsl-082-082-145-215.arcor-ip.net[82.82.145.215]) - FTP session opened.
May 24 04:54:37 ns1 proftpd[1043]: ns1.dtype.net (dsl-082-082-145-215.arcor-ip.net[82.82.145.215]) - no such user 'test'
May 24 04:54:38 ns1 last message repeated 4 times

-----------------

MMay 29 20:02:45 ns1 proftpd[2022]: ns1.dtype.net (211.197.193.207[211.197.193.207]) - FTP session opened.
May 29 20:02:45 ns1 proftpd[2022]: ns1.dtype.net (211.197.193.207[211.197.193.207]) - no such user '°&copy;¿&micro;'
May 29 20:02:45 ns1 last message repeated 4 times
May 29 20:02:45 ns1 proftpd[2022]: ns1.dtype.net (211.197.193.207[211.197.193.207]) - USER °&copy;¿&micro; (Login failed): Can't find user.
May 29 20:02:45 ns1 proftpd[2022]: ns1.dtype.net (211.197.193.207[211.197.193.207]) - FTP session closed.
May 29 20:02:53 ns1 proftpd[2023]: ns1.dtype.net (211.197.193.207[211.197.193.207]) - FTP session opened.
May 29 20:02:54 ns1 proftpd[2023]: ns1.dtype.net (211.197.193.207[211.197.193.207]) - no such user '°&copy;¿&micro;'
May 29 20:02:54 ns1 last message repeated 4 times
May 29 20:02:54 ns1 proftpd[2023]: ns1.dtype.net (211.197.193.207[211.197.193.207]) - USER °&copy;¿&micro; (Login failed): Can't find user.
May 29 20:02:54 ns1 proftpd[2023]: ns1.dtype.net (211.197.193.207[211.197.193.207]) - FTP session closed.
May 29 20:04:53 ns1 proftpd[2024]: ns1.dtype.net (211.197.193.207[211.197.193.207]) - FTP session opened.
May 29 20:04:53 ns1 proftpd[2024]: ns1.dtype.net (211.197.193.207[211.197.193.207]) - ftp: Directory ~ftp/ is not accessible.
May 29 20:04:53 ns1 proftpd[2024]: ns1.dtype.net (211.197.193.207[211.197.193.207]) - FTP session closed.

-------------
아파치 로그에서는 아래 와같은 문자가 대략 5페이지 넘게 일렬로 쭈욱
있더군요.

61.242.218.188 - - [21/May/2004:15:01:36 +0900] "GET http://www.qq.com/images/software_qq.gif HTTP/1.1" 404 298
61.11.25.145 - - [21/May/2004:15:21:55 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
--- 중략--
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
" 414 341
210.113.130.89 - - [21/May/2004:15:32:51 +0900] "GET /~hyperiond HTTP/1.1" 301 318

-----------------------

머리는 느려지고 늘어가는건 담배 꽁초 수..

박영선의 이미지

글쓴이: 박영선 / 작성시간: 목, 2004/06/03 - 8:28오전

위엤것은 시간차로봐서 dos공격은 아닌것같고 ftp 뚫어보려고 삽질하는것같네요.

밑에 아파치로그는 일반적인 코드레드웜 공격같네요.

뭐 둘다 1메가 대역폭을 잡아먹기에는 부족한듯하구요.

가장 확실하것은 라우터 밑에서 스니퍼를 돌려보세요.

껨방이니 놀고있는 피씨 한대에 랜카드 하나 더 꽂고 ethereal 같은 프로그램을 설치해서 트래픽을 잡아보세요.

실제로 서버에서 많은 트래픽을 유발하는지, 그렇다면 그 트래픽은 어떤 트래피인지...

^^;;

drops02의 이미지

글쓴이: drops02 / 작성시간: 목, 2004/06/03 - 11:30오전

이미 포트뽑혀서 수중에 들어온 상태이고.. 로그 분석해서 다른 PC방에있는 서버를 돌릴때 안정화해야 되기 때문에 로그파일만 가지고 분석을 해야 합니다. 이것저것 설정해보고 테스트를 해야 하는데 게임방의 특성상 테스트 실패하면 않그래도 신세지는 입장에서 상당한 폐가 되는 상황이라서..

테스트용 서버로는 무리가 있었나봅니다.

현제 사무실의 공유기 아래쪽에서는 네부네트웍이 느려진다거나 인터넷을 못할정도로 느려지는 현상은 없는걸로 봐서 특정한 이유를 못찾겠습니다. 어떤 징후라도 나타나면 에러 메세지나 트래픽으로 확인가능하겠지만.. 참 난감합니다. FTP서버를 통해 파일을 대량으로 올리지도 않고 웹서버가 돌아갈 당시도 특별한 로드를 걸어주지도 않았었는데..

벽에 부딧힌 기분이랍니다.

관심 감사합니다.

머리는 느려지고 늘어가는건 담배 꽁초 수..

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.