[긴급]해킹시도중입니다. 막을방법 좀 알려주세요.

kimyh의 이미지

어떤놈이 계속 해킹을 시도 하고 있습니다.
iptables나 ipchain으로 막을방법 좀 알려주세요.
ip address가 보이지않아 어떻게 막아야 할지 모르겠군요.
chkrootkit으로 확인 해보니 아직 뚤린상태는 아닙니다.

/var/log의 메세지내용
Aug 14 16:30:44 loveis sshd(pam_unix)[2091]: authentication failure;
logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=h62810
.serverkompetenz.net user=postgres

zeon의 이미지

ip가 보일텐데요?

여친이 길르는 용..

ㅡ,.ㅡ;;의 이미지

zeon님에 대한 리플이 아닙니다..

저기 맨아랫쪽..난감한거.. 운영자님 어케 지우심이..ㅡ,.ㅡ;;

회산데 무심코 클릭했다가 난감...ㅡ,.ㅡ;


----------------------------------------------------------------------------

욱성군의 이미지

8.15 군요 :) 중국인가요?

kimyh의 이미지

ip 어드레스는 알아냈습니다.
그런데 iptables 에서 특정 ip 216.126.234.40 를 216.126.234 이하는 모두
막아버리고 싶을때
아래 명령을 어떻게 해야 하나요.
/sbin/iptables -A INPUT -s 216.126.234.40 -j DROP

이것을 /sbin/iptables -A INPUT -s 216.126.234.* -j DROP
이렇게 해보니까 않되더군요.

또 특정 ip 어드레스 하나나 두개만 telnet ftp ssh 접속이 가능하게 하고
모든 다른 ip 어드레스는 telnet ftp ssh 접속을 못하게 할려면 어떻게 해
야 하는지요?

살며 그리고 사랑하며...
정보는 공유할때 그 가치가 있는것.....
나의 조그만 지식공유는 남에게 엄청난 기쁨을 안겨 준다.

익명 사용자의 이미지

kimyh wrote:
ip 어드레스는 알아냈습니다.
그런데 iptables 에서 특정 ip 216.126.234.40 를 216.126.234 이하는 모두
막아버리고 싶을때
아래 명령을 어떻게 해야 하나요.
/sbin/iptables -A INPUT -s 216.126.234.40 -j DROP

이것을 /sbin/iptables -A INPUT -s 216.126.234.* -j DROP
이렇게 해보니까 않되더군요.

또 특정 ip 어드레스 하나나 두개만 telnet ftp ssh 접속이 가능하게 하고
모든 다른 ip 어드레스는 telnet ftp ssh 접속을 못하게 할려면 어떻게 해
야 하는지요?

# /sbin/iptables -A INPUT -s 216.126.234.0/24 -j DROP

kimyh의 이미지

답변 정말 감사합니다.
그런데 특정 ip 어드레스 하나나 두개만 telnet ftp ssh 접속이 가능하게 하고
모든 다른 ip 어드레스는 telnet ftp ssh 접속을 못하게 할려면 어떻게 해야 하는지요?
물론 웹 접속은 모두 허용 하고요.

살며 그리고 사랑하며...
정보는 공유할때 그 가치가 있는것.....
나의 조그만 지식공유는 남에게 엄청난 기쁨을 안겨 준다.

익명 사용자의 이미지

kimyh wrote:
<전략>
또 특정 ip 어드레스 하나나 두개만 telnet ftp ssh 접속이 가능하게 하고
모든 다른 ip 어드레스는 telnet ftp ssh 접속을 못하게 할려면 어떻게 해
야 하는지요?

# /sbin/iptables -A INPUT -s 111.111.111.1 -j ACCEPT 
# /sbin/iptables -A INPUT -s 111.111.111.2 -j ACCEPT 
# /sbin/iptables -A INPUT -s 111.111.111.24/0 -j DROP
무한포옹의 이미지

kimyh wrote:
답변 정말 감사합니다.
그런데 특정 ip 어드레스 하나나 두개만 telnet ftp ssh 접속이 가능하게 하고
모든 다른 ip 어드레스는 telnet ftp ssh 접속을 못하게 할려면 어떻게 해야 하는지요?
물론 웹 접속은 모두 허용 하고요.

질문에 포트별 제한이 들어있군요.

/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT

/sbin/iptables -N TELNET_FTP_SSH

/sbin/iptables -A INPUT -p tcp --dport 21:23 -j TELNET_FTP_SSH 


/sbin/iptables -A TELNET_FTP_SSH -s 111.111.111.1 -j ACCEPT (혹은 RETURN)
/sbin/iptables -A TELNET_FTP_SSH -s 111.111.111.2 -j ACCEPT (혹은 RETURN)
/sbin/iptables -A TELNET_FTP_SSH -s 0/0 -j DROP 

하면 되지 싶습니다.

-------------------------------
== warning 대부분 틀린 얘기입니다 warning ===

kimyh의 이미지

친절하신 답변 정말 감사합니다.
해커들 때문에 전쟁중입니다.
telnet ftp ssh는 작업용으로 본인만 사용하므로 알려주신대로 하면 되겠군요.
정말 감사합니다.

삼겹실에 소주라도사드리고 싶을정도로 감사합니다.

살며 그리고 사랑하며...
정보는 공유할때 그 가치가 있는것.....
나의 조그만 지식공유는 남에게 엄청난 기쁨을 안겨 준다.

zeon의 이미지

telnet은 ssh로 대신하고 죽이는게 낫지 않을까요. ssl아닌 담엔 굳이...
ssh도 본인만 쓰는 것이라면 데몬 설정 화일에 ListenAddress(가 맞는지는 확실하지 않음) 옵션을 활용하면 편할것 같습니다.
ftp도 필요할때만 간간히 띄우시는게..

여친이 길르는 용..

lunarboy의 이미지

ssh의 경우, 위와 같이 iptables로 아이피 별로 설정해 주는 거랑
hosts.allow 나 sshd_config에서 아이피 설정해 주는 거랑 보안상에 차이점이 있다면 무엇일까요?
22번 포트는 열어두고 hosts.allow에 안전한 아이피를 기입하고 있는데 위험한가요?

kimyh의 이미지

좋은 말씀 감사합니다.
말씀하신대로 하는게 보안에 유리 하겠군요,
그렇게 하도록 하겠습니다.
정말 감사합니다.

살며 그리고 사랑하며...
정보는 공유할때 그 가치가 있는것.....
나의 조그만 지식공유는 남에게 엄청난 기쁨을 안겨 준다.

익명 사용자의 이미지

/etc/ssh/sshd_config 에서 Port 바꾸신후

service sshd restart 하시면 됩니다.

22번 포트로 쓰면 계속해서 외부 프로그램이 접속 시도를 해서.. -_-;;;

Port값만 바꿔도 못하더군요.

익명 사용자의 이미지

ssh를 사용하시는데 ftp랑 telnet을 이용하실 필요가 있나요? ssh 하나만 열어두셔도 파일 전송에 전혀 문제가 없습니다. 22번 포트만 열어두시는 것이 좋을 것 같네요. iptables로 룰이 여러개 있는것 보다는 1개인 것이 더 좋겠죠.

정태영의 이미지

ssh/ftp/sftp/pop3/imap 기타 등등 대부분을 inet 모드로 돌리고 있다면...

한 두개 정도만 열어주려면
/etc/xinetd.conf 에 only_from = IP 정도를 넣어주면 되고 =3=33

한 두개 정도를 막으려면
no_access = IP

여러개를 좀 더 상세하게 설정하려면
/etc/hosts.allow /etc/hosts.deny 를 사용하는 방법도 있습니다

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

kimyh의 이미지

많은 분들 정말 감사합니다.
내일처럼 상세하게 걱정 해 주시고 해결책을 알려주시니 정말 감사할 뿐입니다.

저는 정말 훌륭하신 선배님들을 두신것 같습니다.
다시한번 감사드립니다.

살며 그리고 사랑하며...
정보는 공유할때 그 가치가 있는것.....
나의 조그만 지식공유는 남에게 엄청난 기쁨을 안겨 준다.

서지훈의 이미지

zeon wrote:
telnet은 ssh로 대신하고 죽이는게 낫지 않을까요. ssl아닌 담엔 굳이...
ssh도 본인만 쓰는 것이라면 데몬 설정 화일에 ListenAddress(가 맞는지는 확실하지 않음) 옵션을 활용하면 편할것 같습니다.
ftp도 필요할때만 간간히 띄우시는게..

게시판 봇으로 의도하지 않은 쓰레드가 올라 왔으나...
하나 부언...
전 ftp도 사용하지 않고...
ssh하나만으로 운영하고 파일전송은 FileZilla를 이용 하는걸 권장해 드리고 싶네요.
좀 더 보안을 생각 한다면 ^^;

<어떠한 역경에도 굴하지 않는 '하양 지훈'>

#include <com.h> <C2H5OH.h> <woman.h>
do { if (com) hacking(); if (money) drinking(); if (women) loving(); } while (1);

sh.의 이미지

서지훈 wrote:
zeon wrote:
telnet은 ssh로 대신하고 죽이는게 낫지 않을까요. ssl아닌 담엔 굳이...
ssh도 본인만 쓰는 것이라면 데몬 설정 화일에 ListenAddress(가 맞는지는 확실하지 않음) 옵션을 활용하면 편할것 같습니다.
ftp도 필요할때만 간간히 띄우시는게..

게시판 봇으로 의도하지 않은 쓰레드가 올라 왔으나...
하나 부언...
전 ftp도 사용하지 않고...
ssh하나만으로 운영하고 파일전송은 FileZilla를 이용 하는걸 권장해 드리고 싶네요.
좀 더 보안을 생각 한다면 ^^;

<어떠한 역경에도 굴하지 않는 '하양 지훈'>

filezilla라기보다는 sftp를 사용하는것이 정확하겠네요. filezilla는 sftp 프로토콜을 지원하는 ftp클라이언트 중 하나고요.

cometary의 이미지

portsentry 라는 프로그램을 한번 알아보시죠..
하나의 ip에서 계속 접속 시도를 하면 모를까.. 여기 저기서 하던가 ip변조가 있다면
매번 막아주기도 애매하죠.
위 플그램의 기본은 tcpd를 사용하는 거구요..(바꿀수도 있다던데;;)
특정 ip에서 계속 접근이 시도되면 자동으로 hosts.deny 에 추가 시켜 주는 플그램입니다.(포트 스캔도 막습니다.)
tcp, udp, 스텔스어쩌구.;;; 다 체크합니다.
함 살펴보세요...

헤이함은
큰 사고의 씨앗이다.

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.