중국발 공격 어떻게 막으시나요?

wkpark의 이미지

중국발 해커같은데, 최근에는 국내에서도 공격을 하는 것 같더군요. 아마도 그곳에서 뚤린 다음에 그곳을 기점으로 공격하는 것이겠죠.

관련 글타래를 찾아보니 cron + iptables조합에 대한 이야기, GeoIP얘기 등등이 있군요.

제가 찾아본 것중에 잘 정리된 곳은 다음과 같았습니다.

http://www.ducea.com/tag/brute-force-attacks/

저는 일단 pam_abl을 설치해봤는데 (fedora용 패키지가 있길래) 괜찮은 것 같네요.

여러분들은 어떤식으로 공격을 막고 계시나요?

sh0ut의 이미지

중국발은 예전부터 유명한지라.. 고급해커가 아니라면 어느정도 막을 수는 있는것 같습니다.

저 같은 경우에도.. iptables와 pam으로 막고 있습니다.

무혼인형의 이미지

ftp 서비스는 막고 웹 작업하시는분들은 sftp나 scp사용하시도록 하고..
ssh접속 포트를 바꿔 버렸습니다. 그 이후는 깔끔하더군요..

----
Ангелы и демоны кружили надо мной Разбивали тернии и звёздные пути
Не знает счастъя толъко тот Кто его зова понятъ не смог… -----
http://poorpuppet.egloos.com

danskesb의 이미지

우분투에서 GeoIP 해 보려고 했는데 도대체 HOWTO가 없어서 그 동안 손 놓고 있었다가 오늘 fail2ban 돌렸습니다. 일단 ssh/ftp 포트는 기본적으로 바꾸고 루트 원격 로그인을 껐습니다. 쓸데없는 서비스도 내리니까 최근엔 잠잠하더군요.
---- 절취선 ----
http://ubuntu.ksa.hs.kr

kkung의 이미지


ssh는 한 id만 접속가능하게 해두었고..
iptables 의 ip_recent 를 이용해서 차단하는 정도로
하고 있습니다.

저정도만 해 둬도 쓸만하더군요 =_=;; 중국발 공격에 대한 대처로는..

nop의 이미지


흠 계정 패스워드 조사를 해 놓는게 좋지 않을지요.

john the ripper 로 한번 돌려 보시길.

1) 사용하지 않는 서비스 끄기
2) 패스워드 검사
3) ping 막기.

이 정도면 98% 정도는 막으실 수 있을듯..

그나저나 프록시 사이트에서 우리나라는 왜 이리 많은지. 속도도 빠르고.

중국 아덜이 괜히 우리나라 좋아하는게 아닌가 봅니다.

김정균의 이미지

안녕 리눅스에서는 ip_recent 나 geoip 를 이용해서 막을 수 있습니다. 여러가지 해 보았는데, 그래도 이 두가지가 가장 낫더군요.

GeoIP 를 이용하여, 중국 IP 전체를 block 하는 방법
http://my.oops.org/42

IP recent 를 이용해서 주기당 몇번 접속시에 block 하는 방법 (ipt_Recent)
http://my.oops.org/56

wkpark의 이미지

정균님의 글을 읽어보니, 다음의 링크가 2006년7월자로 업데이트 되어있고 정리도 잘 되어있네요~

http://la-samhna.de/library/brutessh.html

온갖 참된 삶은 만남이다 --Martin Buber

피곤해의 이미지

전 방화벽 하나 세우고, 80,25,53 만 열어두고.. 전부 차단..
그리고 한 서버만 ssh 접근을 위해 새포트로 오픈..
문제 발생시 이 서버로 접근해 해당 네트웍에 접근하는 정도로 하고 있습니다.

위에 좋은 방법이 많네요..
시간 될때 한번 탐독을 해 보아야 겠네요.

astraljoker의 이미지

음?

위에 분들이 너무 잘쓰셔서 쓸말이 없네요...

이제 리눅스 배우는 단계라서 ;ㅁ;

김민영.의 이미지

랜선만 뽑으면 100% 안전하죠 ㅎㅎㅎ

#!/usr/bin/perl
##########################################################
for ($i=0;$i<1;$i++,$i--) {
select(undef,undef,undef, 0.5000),print "사랑합니다.\n" if((!$You_Love_Me)&&($Dead_of_My_Heart));
}

#!/usr/bin/perl
##########################################################
for ($i=0;$i<1;$i++,$i--) {
select(undef,undef,undef, 0.5000),print "사랑합니다.\n" if((!$You_Love_Me)&&($Dead_of_My_Heart));
}

환골탈태의 이미지

요즘은 새로운 시도를 하고 있습니다. ^^

원래 GeoIP로 중국 아이피 대역 막고, IPT_RECENT 세팅했었는데 그래도 오길래.
SSH 포트를 변경하고 OpenVPN을 세팅했습니다.

이제 서버의 SSH에 접속할려면 10.10.10.1에 24번 포트로 접속해야 합니다. ㅎㅎㅎ
이러다가 제 아이피 이외에 다 막게 되는거 아닌지 모르겠네요.. -_-
앞으로 FTP와 POP/IMAP도 막아버리고 개발자들도 OpenVPN을 사용하도록 해야겠습니다.
물론 상당한 반발이 예상됩니다..=_=

이런 저런게 많았는데 제 경우의 제일 확실한 건 포트를 바꾸는거 였습니다.

근데 웃긴건. 어떤 중국쪽 커뮤니티 보니깐 우리나라 서버에 대한 상황을 자기들끼리
스터디하는 걸 봤습니다.
번역도 해주고 취약한 부분이 있는 아이피도 가르쳐주고 주민번호도 올라오고
회원가입할때 의심 안 받고 주소적는것도 가르쳐주고 있더군요..
생쑈를 하고 있었습니다.

암튼 중국애들 덕분에..삽질의 연속입니다.
고대 선조들이 맘 놓고 썼던 telnet 사용의 그 시대가 그리울 따름입니다.

__________________________________________________
좀 더 편한 방화벽 스크립트를 만들자...

__________________________________________________
모두 다 Hardy로 업그레이드 하고 있습니다.

yuni의 이미지

방화벽 설치를 강제 당하는 바람에 내공이 부족한 저로서는 unofficial ubuntu guide에 적혀 있는 firestarter로 그냥 믿고 지내고 있습니다.
이걸로 그냥 안될까요?
==========================
안녕하세요? 인간이 덜 영글어서 실수가 많습니다. :-)
=====================
"지금하는 일을 꼭 완수하자."

==========================
부양가족은 많은데, 시절은 왜 이리 꿀꿀할까요?
=====================
"지금하는 일을 꼭 완수하자."

griun의 이미지

방금 설치했는데요.

그동안은 그냥 셸 스크립트로 /etc/hosts.deny에 등록하는 형태로 쓰다가...

denyhosts라는 프로그램이 젠투 포티지에 등록되었길래 설치해봤는데, 이후로 한건의 접속시도도 없군요. :-) 아마 시작하면서 로그파일 분석해서 그동안 불량 접속시도했던 IP를 일괄적으로 /etc/hosts.deny에 등록해서 그런 것 같습니다.

설정 아주 아주 간단하고, 쉽고, 일정기간 지나면 해당 IP블록킹 해제해줄 수 있고, sshd만 막을건지 다 막아버릴건지.. 등등..

젠투 쓰신다면

emerge denyhosts
/etc/init.d/denyhosts start

이 두줄로 끝납니다. :D

http://www.denyhosts.net

airpro의 이미지

주로 저 방법을 많이 사용하죠.

저는 특히 회사의 개인 정보가 담겨있는 DB서버로 시도할 시에는

윈도우 계열에서 메신저 서비스가 돌아가고 있으면 협박성? 경고를 해 주고

패킷을 떠서 어떤 공격을 하는지 맥주소와 IP 대역을 확인한 다음 ~ 기록 후 ~

2번 이상의 공격이 보일시에는 바로 대응에 들어갑니다. ~ (중국과 인도쪽인 경우)

익명사용자의 이미지

거의 일주일째? 제 섭ssh를 마구잡이식으로 로긴 시도한.......
이걸 눈치 못채고 있었다니... OTL....

root@hostxian:/var/log# whois 124.42.24.70
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 124.42.0.0 - 124.42.127.255
netname: SINNET
descr: Beijing Guanghuan Xinwang Digital Technology co.Ltd
descr: 2A-2F,Tower A,East Gate Plaza,NO.9 Dong Zhong Street,
descr: Dong Cheng Dstrict,Beijing
country: CN
admin-c: CH471-AP
tech-c: WH271-AP
status: ALLOCATED PORTABLE
mnt-by: MAINT-CNNIC-AP
mnt-lower: MAINT-CNNIC-AP
mnt-routes: MAINT-CNNIC-AP
changed: hm-changed@apnic.net 20060109
source: APNIC

person: Chen hao
nic-hdl: CH471-AP
e-mail: lichao@sinnet.com.cn
address: Beijing Guanghuan Xinwang Digital Technology co.Ltd
address: 2/F,Tower A,East Gate Plaza,No.9 Dongzhong Street,
address: Dong Cheng District,Beijing
phone: +86-010-64181150
fax-no: +86-010-64181819
country: CN
changed: ipas@cnnic.cn 20060104
mnt-by: MAINT-CNNIC-AP
source: APNIC

person: Wang Huijun
nic-hdl: WH271-AP
e-mail: chenbin@sinnet.com.cn
address: Beijing Guanghuan Xinwang Digital Technology co.Ltd
address: 2/F,Tower A,East Gate Plaza,No.9 Dongzhong Street,
address: Dong Cheng District,Beijing
phone: +86-010-64181150
fax-no: +86-010-64181819
country: CN
changed: ipas@cnnic.cn 20060104
mnt-by: MAINT-CNNIC-AP
source: APNIC

inetnum: 124.42.0.0 - 124.42.127.255
netname: SINNET
descr: Beijing Guanghuan Xinwang Digital Technology co.Ltd
descr: 2A-2F,Tower A,East Gate Plaza,NO.9 Dong Zhong Street,
descr: Dong Cheng Dstrict,Beijing
country: CN
admin-c: CH471-CN
tech-c: WH271-CN
mnt-by: MAINT-CNNIC-AP
mnt-lower: MANT-CN-SINNET
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20060112
source: CNNIC

person: Chen hao
nic-hdl: CH471-CN
e-mail: lichao@sinnet.com.cn
address: Beijing Guanghuan Xinwang Digital Technology co.Ltd
address: 2/F,Tower A,East Gate Plaza,No.9 Dongzhong Street,
address: Dong Cheng District,Beijing
phone: +86-010-64181150
fax-no: +86-010-64181819
country: CN
changed: ipas@cnnic.net.cn 20030328
mnt-by: MAINT-CNNIC-AP
source: CNNIC

person: Wang Huijun
nic-hdl: WH271-CN
e-mail: chenbin@sinnet.com.cn
address: Beijing Guanghuan Xinwang Digital Technology co.Ltd
address: 2/F,Tower A,East Gate Plaza,No.9 Dongzhong Street,
address: Dong Cheng District,Beijing
phone: +86-010-64181150
fax-no: +86-010-64181819
country: CN
changed: ipas@cnnic.net.cn 20060313
mnt-by: MAINT-CNNIC-AP
source: CNNIC

viper9의 이미지

Portsentry + IPTABLES로 막습니다.

포트스캐닝 들어오면 무조건 iptables로 DROP해버리도록 설정해놓고 있네요.

그리고..... 텔넷은 끄고 SSH 쓰고 있구요.

salpoosi의 이미지

대충 만들어 놓은 스크립트로 로그 분석해서 원치 않는 로그인 사용자의 IP는

hosts.deny으로 막아버립니다.

공격해 들어오는게 중국인지 한국인지 일본인지 잘 모릅니다.

한국쪽에서 들어온거는 그 쪽 관리자 메일로 해당 아이피를 확인조치 하라고 메일도

보내보았지만 답장도 없습니다. 그 뒤로는 그냥 무시합니다.

다음날 아침에 메일 열어 보고 어디에서 시도 했는지만 확인합니다.

행여 어떻게 아이디와 암호를 가지고 뚫렸는지 알 수 없어서.

시도한 아이디를 보면 어느 국가에서 시도했는지 대충 알수 있습니다.

주로 영어쪽 국가로 보이는 아이디들이 대부분을 차지하고

가끔 일본쪽 아이디로로 시도하는거 보아 특정 국가로만

제한 둘수는 없더군요.

실시간으로 막기 어려워서 크론으로 돌리고 있는데 크론이 도는 시간 사이에 접속 시도가

이루어 집니다. 대략 많으면 60여회.. 그 뒤로는 접속 제한에 걸려 시도조차 못합니다.

제가 조치한 방법 링크를 겁니다. 수준 높은 방법은 아니지만 그래도 효용성이 높습니다.

접속 가능한 아이디에서는 필요 암호는 복잡하게 설정하셔야 합니다.

http://blog.naver.com/salpoosi/22951010

ㅡ,.ㅡ;;의 이미지

>> 중국발 공격 어떻게 막으시나요?

왼손 오른어께에서부터 내리 비틀며 "왼손목 아랫막기"로..


----------------------------------------------------------------------------

익명사용자의 이미지

1321414

익명사용자의 이미지

.크래킹같은 돈 안되는 일도 하고...