지난 트래픽 확인
글쓴이: artop0420 / 작성시간: 금, 2011/11/18 - 11:20오전
Centos 5.7이 설치된 서버에
어제 야간시간대에 약 20분간 트래픽이 급상승하다가 갑자기 조용해졌습니다.
오늘 그 서버에 대한 점검 요청을 받았는데요....
솔직히 말해 백지상태입니다....
머 부터 봐야할까요?ㅠ_ㅠ
서비스 도는건 httpd, ssh, name, sendmail, dovecot, ftp...
음..적다보니 돌 수 있는 서비스는 모두 돌고 있는것 같네요.... -0-
messages, dmesg, last, secure 로그는 우선 다 봤는데, 아무문제 없구요...
아파치가 운영되는 점을 감안하여 해당시간대 access.log를 봤지만 통상 운영되는만큼 나왔구요.
error.log도 통상 찍혀있는 만큼만 찍혀있네요.... -0-
도와주세요~~~~
Forums:
으흠.
흠.. 난감하군요
일단 웹로그등을 살펴보아야 합니다.
그리고 sysstats 가 설치 되어 있다면 sar 데이터를 기반으로 어느정도 해당시간데에 일어난 상황에 대해서 수치적으로 뽑을 수 있을껍니다.
그 다음이 웹로그등을 봐야 하고 ftp 와 mail 서비스가 트레픽을 유발 시킬 수 있을껍니다.
사용자중 하나가 avi 파일을 업로드 또는 다운로드 했다던지 ftp 로 올려서 웹으로 불특정다수에게 서비스 했다던지
그것도 아니면 메일계정 사용자중 하나가 엄청난 양의 메일을 발송했다던지 ( 100M 이상 메일을 cc 를 통해 다수에게 .. )
머 트래픽이 발상할만한것은 web 과 ftp 와 mail 등으로 압축되겠네요.
--------------- 절취선 ------------------------
하늘은 스스로 삽질하는 자를 삽으로 팬다.
http://glay.pe.kr
sar
sar명령어를 자세히 봐야겠네요...
해당 시간대의 자세한 정보를 확인할 순 없겠지만, 대략적인 정보는 알 수 있을테니
그 정보를 가지고 삽질 해봐야겠습니다.ㅎㅎㅎ
--- 나는요? ---
리눅스와 솔라리스 그리고 윈도우의 껍데기만 맛보고 있습니다.
흠.
아 web 등이 뚫려서 인젝션등으로 인한 file upload 머 등등 웹보안에 의해서 그럴수도 있겠군요.
그런 부분도 찾아 보시기 바랍니다.
--------------- 절취선 ------------------------
하늘은 스스로 삽질하는 자를 삽으로 팬다.
http://glay.pe.kr
처음에는...
처음에 DDOS공격이나, 인젝션 공격을 생각하고,
그나마 잘 잡힌다는 웹쉘 검사와 루트킷 검사를 진행했었습니다.
결론은 아무이상 없었습니다.ㅠ_ㅠ
--- 나는요? ---
리눅스와 솔라리스 그리고 윈도우의 껍데기만 맛보고 있습니다.
-> 어제 야간시간대에 약 20분간 트래픽이
-> 어제 야간시간대에 약 20분간 트래픽이 급상승하다가 갑자기 조용해졌습니다.
1. out-bound 인지 in-bound 인지 먼저 확인 해 보세요.
- DDOS공격 이라면 in-bound 트래픽이, SQL 인젝션이나 POP3등이라면 out-bound 트래픽이 증가 합니다.
2. 가능하다면 TCP 인지 UDP 인지도 확인 해 보세요.
3. source IP 가 확인 이 가능하다면 큰 도움이 되겠지만 확인이 어려우리라 생각 됩니다.
이해 할 수 없다고 다짜고짜 보안문제로 단정하지 마시고 우선 서비스를 먼저 하나씩 확인 해 보시는게 좋겠습니다.
access.log에도 용량이 나오는 걸로 기억 하는데 라인만 세지 말고 서비스된 용량도 확인 해 보세요.
음..
조언 감사합니다.ㅎㅎ
--- 나는요? ---
리눅스와 솔라리스 그리고 윈도우의 껍데기만 맛보고 있습니다.