ssh 해킹 당했습니다.

moonhyunjin의 이미지

root 패스워드가 간단해서 당했는데... 제가 방심했던게

인터넷을 공유해서 쓰는 환경이라 외부에서는 22번으로 접속이 불가능할줄 알았는데.. 이게 어떻게 된건지...? port forwarding 같은거 없는데... 도통 이해가 안가네요.

밑에 있는 공격 호스트 2곳도 이용당하는 같아요.

18 ToT

/var/log/messages

Oct  3 03:06:46 this sshd(pam_unix)[15118]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.100.12.231 
Oct  3 03:06:48 this sshd(pam_unix)[15117]: check pass; user unknown
Oct  3 03:06:48 this sshd(pam_unix)[15117]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=susu.elte.hu 
Oct  3 03:06:49 this sshd(pam_unix)[15121]: check pass; user unknown
jyj9782의 이미지

moonhyunjin wrote:
root 패스워드가 간단해서 당했는데... 제가 방심했던게

인터넷을 공유해서 쓰는 환경이라 외부에서는 22번으로 접속이 불가능할줄 알았는데.. 이게 어떻게 된건지...? port forwarding 같은거 없는데... 도통 이해가 안가네요.

밑에 있는 공격 호스트 2곳도 이용당하는 같아요.

18 ToT

/var/log/messages

Oct  3 03:06:46 this sshd(pam_unix)[15118]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.100.12.231 
Oct  3 03:06:48 this sshd(pam_unix)[15117]: check pass; user unknown
Oct  3 03:06:48 this sshd(pam_unix)[15117]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=susu.elte.hu 
Oct  3 03:06:49 this sshd(pam_unix)[15121]: check pass; user unknown

이건 인증실패한게 아닌가요?

제 개인서버로그에도 이런메시지가 가득하군요 ^^

일본쪽 서버랑 여러곳에서..

당한게 아니라 웜이거나, 스캐닝하는중인가봅니다.

힘내세요.

1day1의 이미지

그런데, ssh 봇 해킹당하면 어떤 증상이 있나요?

그냥 다른 서버 공격루트로 쓰이는 것인지, 아니면 ssh 접속이니 서버를 온통 헤집어 놓나요?(삭제한다거나..)

F/OSS 가 함께하길..

이은태의 이미지

직접적인 접근보다는 서버에서 구동되는 웹어플리케이션을 점검해보세요
/tmp, /var/tmp, /dev/shm 등에 보통 생성됩니다.
ls -alR 로 조회해보세요.

:-)

사랑천사의 이미지

안녕하세요?
이여송 사도요한입니다.

그건 공격 하려고 했지만 실패 한겁니다. 인증에 성공 했으면 인증에 성공한 내용이 기록 되어 있겠죠... 저는 매일로 하루마다 보안 매일이 나라오는데 거기서 제가 접속해서 인증에 성공한 것들은(제가 관리자이니 접속 성공하면 인증 성공이겟죠.) 따로 나오고 저런 식으로 인증 실패 한 것들만 또 따로 나오더군요... 음.. 아무튼...

그리고 서버에 접속해서(SSH로.. 해킹 당했다면...) 해커가 할 짓이 뭔지는 아무도 모르겠죠 당연히... 누가 알겠어요... 경유지 쯤으로 쓸 것인지... 아니면 직접 망가트릴지... SSH로 접속 할 때 root로 들어오면 뭐든지 다 되니 뭘 할진 모르는 거죠 음...

그리고 위의 어떤분 말씀처럼 포트 스캔등을 하거나 간단한 공격용 툴로 SSH를 계속 뚤기 위해 암호화 계정 이름을 무차별 대입 하고 잇을 수도 잇습니다. 이렇게 되면 시간이야 얼마나 걸릴지 몰라도 결국 뚤릴 수 있겠죠.. 쉬지 않고 계속 무차별 대입을 한다면.

보통 이런걸 전공법 이라고 합니다. 계속해서 무차별 대입하여 계정 접속 하는... 아무튼 전공법이고 사회공학법이고 뭐고... 저런 짓 하는건 외국 해커들이 많이 합니다. 우리나라도 잇찌만... 그래도 왼만해선 못 뚤을겁니다. 암호가 너무 단순하지만 않으면... 제 개인서버에도 로그를 보면 저런거... 각 국가에서 수 백 개는 나라온걸로 기록 되어 있지요. 미국, 러시아, 홍콩, 일본, 타이완, 호주 등등... 윽..

아무튼 너무 걱정 마세요. 그래도 암호 관리를 잘 하셔야 겠죠 음...

숫자와 영어 대소문자를 여러가지로 섞은 암호의 경우 크랙 프로그램인 John 1.5에서 1주일이 지나도 찾아네질 못했습니다.(이것 또한 무차별 대입 모드로 돌렸습니다만...)

아무튼... 참고로 John은 서버에 해킹질을 하는게 아니라 암호화된 페스워크 데이터 파일을 가져다가 짓거리 하는 것이고요 음..

그럼 전 가 보겠습니다. 너무 걱정 마세요.
이여송 사도요한 드림.

사람천사

moonhyunjin의 이미지

공격하는 곳이 두곳이라는걸 보여드리기 위해 가운데 부분을 보여드린것이고, 실제 열리는 장면입니다. ToT
인터페이스를 Promiscuous로 바꾸고.. hostname 날리고.. 비번 바꾸고... 별짓을 다해놓고 가더군요...

Oct  3 01:24:45 this sshd(pam_unix)[11679]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=susu.elte.hu  user=root
Oct  3 01:24:51 this sshd(pam_unix)[11683]: session opened for user root by root(uid=0)

<- 이거면 안 되는 게 없어~
정품 소프트웨어 사용 캠패인

toz의 이미지

어떤 환경에서 저런 침입이 이루어졌는지는 잘 모르겠습니다만..
일단 root계정을 ssh로 바로 접속 할수 있게 해놓으신것이 상당히
큰 문제라고 봅니다.
가급적 ssh는 일반 사용자 권한으로 이용을 하시되 root계정으로
접속을 막아버리고 root권한이 필요하면
sudo 등을 이용하시는게 좋을듯합니다.

Connecting, Wired...

rekcuf의 이미지

윗분 말씀대로 ssh 접속은 일반 사용자 한 명만 하시도록 하고 필요시에만 sudo, su 등을 이용하시는 것이 좋을 것 같습니다.
가능하신 상황이라면 아예 특정 IP에서만 ssh 접속이 되게 하시거나, ssh의 포트를 22번에서 xxxx 같은 특정번호로 바꾸시는 것도 상당한 도움이 될 것 같습니다...

# apt-get install HOPE

orangecrs의 이미지

ysnglee2000 wrote:
보통 이런걸 전공법 이라고 합니다. 계속해서 무차별 대입하여 계정 접속 하는... 아무튼 전공법이고 사회공학법이고 뭐고... 저런 짓 하는건 외국 해커들이 많이 합니다. 우리나라도 잇찌만... 그래도 왼만해선 못 뚤을겁니다. 암호가 너무 단순하지만 않으면... 제 개인서버에도 로그를 보면 저런거... 각 국가에서 수 백 개는 나라온걸로 기록 되어 있지요. 미국, 러시아, 홍콩, 일본, 타이완, 호주 등등... 윽..

사전공격을 특정호스트에 특정 사전파일을 사용하는 경우 스캔을 했을때 그 경우는 낮지만 각 NIC 웹사이트에서 제공되는 정보(?)로 사전공격을 때릴경우 빈번하게 걸립니다. 생각외로 많이...
98년경 공익할때 심심해서 동사무소에서 프로그램한 경험이 있는데 사전공격에도 범위를 넓게 보면 잡히는 경우가 엄청나게 많다는 걸 알게 되었지요. 지금도 제 하드에 남아있군요...;; 존 같은 사전대입공격은 특정호스트의 습득한 쉐도우파일습을 목표로하지만 간단한 소켓과 위에서 말한 NIC의 웹정보, 그리고 문어발 클래스주소 접근 방법(이거 통계학에서 배운건대 용어가 잘기억이 안나네요.마술의 이론에도 쓰인다는. ㅉ)으로 요즘 같은 초고속 인터넷시대에 있어 무차별공격은 어렵지 않다고 생각하네요.

---------------------------------------------------
야!...

moonhyunjin의 이미지

다들 자잘한 보안설정에 대해서만 알려주셨는데 그건 사람들 다 아는 것이고... 제가 궁금한건..

포트 포워딩이나 DMZ같은거 없이 인터넷을 공유해서 쓰는 환경인데 어떻게 서브넷에 있는 컴퓨터의 22번 포트로 접속을 했는지가 이해가 안간다는 겁니다.

이거 아시는분 없나요?

<- 이거면 안 되는 게 없어~
정품 소프트웨어 사용 캠패인

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.