[질문] samba폴더에 정체불명의 파일들이 계속 생깁니다.

onlytrue의 이미지

한대의 리눅서버와 두대의 xp윈도클라이언트 컴을 사용하여
인터넷 및 파일공유를 하고 있습니다.

다름아니라 삼바서버(smb 2.2.7a)를 설치하여 사용하고 있는데
이상한 파일들이 몇개씩 계속 생겨납니다.

testfile
super.exe
iexplorer.exe
등등..

왜 그런건지 모르겠어요.
의심이 가는 부분은 iptables 정책을 하나도 주지 않아서
방화벽이 없는 상태라는 점,
samba공유폴더에 모든사람이 접근하고 쓸수있게 권한을 주었다는 점인데..

하나로 ADSL 유동ip쓰고 있구요..
혹시 해킹의 조짐인건지..
개인pc인데도 이런 일이 자주 있나요?

비슷한 경험이나, 혹 원인을 아시는 분
자세한 도움답변 부탁드립니다..

onlytrue의 이미지

/var/log/secure 파일 내역 중에
이상한 것을 발견했습니다.

Feb 28 20:38:07 Linux sshd[1344]: Illegal user test from 218.104.128.213
Feb 28 20:38:08 Linux sshd[1346]: Illegal user guest from 218.104.128.213

이것 해석좀 해주세요..

누가 접속한 거겠죠?
사이버수사에 신고하는 법도 설명을..
ㅠ.ㅠ

^^

익명 사용자의 이미지

방화벽은 꼭 하시구요.

해당 log 는 sshd 에 대한 무작위 접속 시도 일 것입니다.

Illegal user 라고 나오는 것을 보니, 해당 user 가 없어서 실패한 것이구요.

방화벽 설정이 어려우시면, http://www.oops.org 에 가셔서 , oops-firewall 을 사용해 보세요.

tinywolf의 이미지

웜바이러스가 만들어내는 파일들과 이름이 비슷하군요..

guest계정이나 administrator계정도 암호가 안걸린채로 풀려있는 경우가 예전의 윈도우즈에선 빈번했기 때문에 바이러스들이 잘 시도하는 계정이죠..

삼바 공유 폴더는 반드시! 사용자 설정을 하는 것이 이로울 것같습니다.

윈도우 사용자들이 접근할 수 있기 때문이죠.

모든 사용자에게 열더라도 읽기만 가능하도록..

쓰기는 ftp를 통하도록 하는 것이 좋을 것같습니다.

ㅡ_ㅡ;

onlytrue의 이미지

/var/log/samba에 있는 log파일들을 검색해보니..

너무 이상한 로그 파일들이 엄청나게 많더군요..

[root@Linux samba]# ls
?.log                dcf76e43af6f4df.log  pampa225.log
?.log                ddd-xxy5nqfguyj.log  park-d4d777e38c.log
?__?.log             dms.log              phc-70f618d3e18.log
?__?__.log           dongwoo.log          pms0405.log
?__.log              dus-w3k1z5dqdgi.log  qduvr21y9f30v30.log
?__幌?.log           e53ce0cad1c741c.log  rampeiras.log
?_컴?_터.log         ee0x56en2qtv2l3.log  rosacalzada.log
088cki0g6okcm17.log  eunsub.log           russ.log
1-kzjxulta1l5la.log  f07ad576e4c0419.log  ruyo6zfcu2alrvt.log
1-ykrms05epxwj7.log  f1985cd9217b4ab.log  s6u7m9.log
1009land-0modyz.log  fg9br77ixtffent.log  salpoori.log
11-mtbmqgwo7ana.log  gegipop.log          samsung-0ymwyli.log
213-vuff4byogtk.log  goodnet.log          samsung-8c44f63.log
23ecd08846d641b.log  gorae01.log          samsung-9gwcycn.log
3p24gbaq571uijk.log  gustavo.log          samsung-9sap94f.log
50163099sp.log       hakusong.log         samsung-gebnvnh.log
53-27321ow2hu2f.log  hangi.log            samsung-j3yl1vm.log
55-gzdgnpol3t4x.log  hanjo-d7fu8v6nk.log  samsung-max3u7h.log
5mzpw2lara8k693.log  happy.log            samsung-mt68p9g.log
5oqkoo1hispdnc0.log  haru.log             samsung-myi39te.log
63wx870hts94e2c.log  hhh-8t5ovbc2sog.log  samsung-ybft1qc.log
6gxu3cpca5ecqsb.log  hhh.log              sec-obrb1luouzo.log
6j7le9db90cim19.log  hiper.log            shitbanda.log
71004bb400ec47c.log  home-05b29dbc5f.log  skshin.log
8sqxh3e4veiwjud.log  home-8v8wrwvmdl.log  sky.log
_?.log               home-bdf41b1213.log  skylack.log
_?_?__.log           home-f7awl7n1rw.log  sm.log
_?_.log              home.log             smbd.log
_?___?.log           house-452sh9b6z.log  soojungstar.log
_?___?.log           hunnycomputer.log    talentoaa.log
_?___?_?_.log        hyundae.log          tttoc11gif1ifcm.log
_?___珦?_?.log       hyunju.log           u-ri-jip.log
_?__집.log           iap.log              u6yni4rr99fmylu.log
___?_?__부2.log      ifxxt8hnlesca2g.log  uc-4wi613fsn42t.log
__인_.log            ii5k4dabv35xlah.log  us0uju8i0y1mps5.log
_쳔.log              interzen-1ae647.log  user-3f4bbccd69.log
_瑛?_?.log           jack3.log            user-9af892738a.log
_瑩_?_.log           jangandong.log       user-ewrfuqu3ox.log
_瑩緻?.log           jb4n0fv4s2st652.log  user-fkz2sivmc5.log
a-ds0sb4v0tnqwr.log  jcthc.log            user.log
a0d9ffd133e4419.log  jeongchangheon.log   ust2g5beeirdqhz.log
aaa-51liwg39s5y.log  jhy6fk52irsjsp6.log  uuu.log
aaa-l9fyu4rdrzz.log  k-76uw2mumwblox.log  velca.log
aaa.log              k5j7p8.log           vengi.log
admin-wgyt3w3y4.log  kim.log              vitamin.log
administ-6b289c.log  kimkh09.log          win2k.log
administ-mf6lwv.log  king.log             windows.log
administrator.log    kkk-pfabs37nxdz.log  wke-5zf6rc3xkb3.log
alevrius_.log        kwh-w3.log           won.log
archi-kl.log         leejisun.log         woo.log
as-9g4xn7c8bw1k.log  lel9g4m3iraouo3.log  www.log
asd-ti5h7usmdxd.log  localhost.log        x29asgbmmhal1ve.log
assocost-ff4175.log  log.nmbd             x5elny39qw6rew9.log
b57ac627e1004da.log  log.smbd             x62w0lszrpdp0ux.log
b8aadb6980a4475.log  m-baba.log           x734fqa7ux4x8d2.log
badawa.log           malee.log            xex4hx73fqq367u.log
bepiiho2izvqofn.log  mieux21.log          xp.log
bobae.log            mish-7ouxv4j8l6.log  xp.log.old
bong.log             momerdadd.log        yh099.log
c-bf3bffedcf7se.log  moon.log             yjlight.log
capsule-3og6fzo.log  mpt2c4i2ntgzwvd.log  yjyhp.log
chacanpili.log       mun.log              yoonst.log
charlie7.log         mycom.log            youngsuk.log
cho.log              myhome.log           your-1nx2o9imsr.log
choiminhee.log       n5x5q2.log           your-7mo5gt28nh.log
com-vneuhh3kvfl.log  nada.log             your-qpghu65wfi.log
com.log              neox.log             your-x8xfr34rze.log
com1.log             new_user.log         yyxk9bbnxd7e6zj.log
com1010.log          newton___.log        zg0znvqzwtxt98g.log
commonor-0aaa85.log  newtonto_.log        zktrhkx8pee3boh.log
compu.log            nexj2q309tscy08.log  zp55nzi208iaudw.log
computer.log         nt2.log              이?___.log
csyoon.log           o-3lhs15cdogor3.log  이_緻?.log
customer-zjr5wp.log  oem-cizjfnoi8xh.log  잤_.log
d-1op0v10lzc5ui.log  oemcomputer.log      전___?.log
danielcomputer.log   oo-ddds7sw5roxa.log  지_訣?.log
darkwhitebu.log      pak-c4cor2yfuf8.log

이 로그파일들은 다 어떻게 해서 생겨난건지..ㅡ.ㅡ
그 중 하나의 파일만 열어 확인한 내용은 다음과 같습니다..

[root@Linux samba]# cat zp55nzi208iaudw.log
[2005/03/01 15:28:48, 0] rpc_server/srv_samr_nt.c:get_sampwd_entries(321)
  get_sampwd_entries: Unable to open passdb.
[2005/03/01 15:32:05, 0] lib/util_sock.c:read_data(436)
  read_data: read failure for 4. Error = Connection reset by peer
[2005/03/01 15:35:06, 0] lib/util_sock.c:read_data(436)
  read_data: read failure for 4. Error = Connection reset by peer

웜인가요??ㅠ.ㅠ

^^

cmcchoi의 이미지

저도 가게에 컴에 공유를 걸어두고 사용자를 지정한다는게 깜빡하고 가게에 이름으로 걸엇다가..각컴의 로그온 이름이 가게이름이란걸 ..

그리고 바로 서버 포맷을 할수 밖에 없었습니다.

testfile ...이거 웜으로 알고 있습니다.
가끔 공유걸어놓은 98폴더에도 생기더군요...

아..
지금도 고민중입니다..로그인 정보를 봐야되는데.
서버가 해킹당한거 같아서..
어디를 어떤 파일을 봐야될까요?

onlytrue의 이미지

Mar  2 20:20:17 Linux samba(pam_unix)[1243]: check pass; user unknown
Mar  2 20:20:17 Linux samba(pam_unix)[1243]: authentication failure; logname= uid
=0 euid=0 tty=samba ruser= rhost=218.50.121.193
Mar  2 20:21:03 Linux samba(pam_unix)[1245]: check pass; user unknown
Mar  2 20:21:03 Linux samba(pam_unix)[1245]: authentication failure; logname= uid
=0 euid=0 tty=samba ruser= rhost=218.50.243.64
Mar  2 20:21:05 Linux samba(pam_unix)[1245]: check pass; user unknown
Mar  2 20:21:05 Linux samba(pam_unix)[1245]: authentication failure; logname= uid
=0 euid=0 tty=samba ruser= rhost=218.50.243.64
Mar  2 20:25:39 Linux modprobe: modprobe: Can't locate module char-major-5
Mar  2 20:30:53 Linux samba(pam_unix)[1252]: check pass; user unknown
Mar  2 20:30:53 Linux samba(pam_unix)[1252]: authentication failure; logname= uid
=0 euid=0 tty=samba ruser= rhost=218.50.243.64
Mar  2 20:30:55 Linux samba(pam_unix)[1252]: check pass; user unknown
Mar  2 20:30:55 Linux samba(pam_unix)[1252]: authentication failure; logname= uid
=0 euid=0 tty=samba ruser= rhost=218.50.243.64

Mar  2 23:24:16 Linux samba(pam_unix)[1645]: check pass; user unknown
Mar  2 23:24:16 Linux samba(pam_unix)[1645]: authentication failure; logname= uid
=0 euid=0 tty=samba ruser= rhost=218.201.87.117
Mar  2 23:24:19 Linux samba(pam_unix)[1645]: check pass; user unknown
Mar  2 23:24:19 Linux samba(pam_unix)[1645]: authentication failure; logname= uid
=0 euid=0 tty=samba ruser= rhost=218.201.87.117
Mar  2 23:30:25 Linux samba(pam_unix)[1647]: check pass; user unknown
Mar  2 23:30:25 Linux samba(pam_unix)[1647]: authentication failure; logname= uid
=0 euid=0 tty=samba ruser= rhost=218.50.243.64
Mar  2 23:30:27 Linux samba(pam_unix)[1647]: check pass; user unknown
Mar  2 23:30:27 Linux samba(pam_unix)[1647]: authentication failure; logname= uid
=0 euid=0 tty=samba ruser= rhost=218.50.243.64
Mar  2 23:36:33 Linux samba(pam_unix)[1649]: check pass; user unknown
Mar  2 23:36:33 Linux samba(pam_unix)[1649]: authentication failure; logname= uid
=0 euid=0 tty=samba ruser= rhost=218.50.243.64
Mar  2 23:36:35 Linux samba(pam_unix)[1649]: check pass; user unknown
Mar  2 23:36:35 Linux samba(pam_unix)[1649]: authentication failure; logname= uid
=0 euid=0 tty=samba ruser= rhost=218.50.243.64

도대체 이게 무슨 일이 일어난거죠??
계속 삼바폴더에 이상한파일들이 생기길래
권한을 막아놓고 난 뒤에는 파일이 생기지를 않았습니다.
근데 저 위에 보이는 것처럼.. 계속 무언가 시도를 하는 듯한..
웜인가요??
ㅠ.ㅠ

^^

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.