[완료]중국에서 제 개인서버로 ssh 접속시도 한 놈이 있습니다
글쓴이: whitshado / 작성시간: 수, 2009/06/17 - 7:25오후
한시간가량 yanfa, kamikadze, oracle, guest, root등으로 무수히많이 접속 시도 했구요(root 리모트 접속 안되는 상태였는데도 미친듯이 시도하더군요)
뚫리진 않았는데 제가 방화벽 설정 조금 잘못된게 있어서 접속 시도를 열나게 한 모양인데 이제는 불가능하게 설정해놨어요
어떻게든 족치고 싶은데 제가 스킬이 딸려서 복수 할수가 없네요
이럴때 조치는 어떻게 하는게 가장 좋나요?
Target '***.***.***.***' port(0 - 1999) Proto Remote Address State Response TCP ***.***.***.***:21 ACCEPTED 220 (vsFTPd 2.0.1) TCP ***.***.***.***:25 LISTENING <none> TCP ***.***.***.***:80 LISTENING <none> TCP ***.***.***.***:150 LISTENING <none> TCP ***.***.***.***:119 LISTENING <none> TCP ***.***.***.***:110 LISTENING <none>
참고로 그새끼 열린 포트입니다
ip공개는 좀 그러니까 가렸습니다
중국베이징놈인데 신고를 한다면 어디다 해야할지도 막막하구요
복수를 하려면 어떻게 해야할지 조언 부탁드립니다
Forums:
...
글좀 곱게 치시길 부탁드리며.
root admin guest... 등등으로 접속하는건 사전식 공격으로 비밀번호만 얼빵하게 하지않으면 뚫리지 않습니다.
그리고 애초에 복수하는건 불가하다 보심 됩니다
뭐하러 복수합니까? 그냥 포트번호만 바꿔도 저런공격 안들어오는데.
오해가 있으신듯한데...
포트번호를 왜 바꿔요? 방화벽으로 막았는데..
막는건 제가 글에 명시한대로 구축을 한줄 잘못적은 방화벽 설정을 지워버렸기 때문에 현재는 제한적 접근 허용상태라서 여기있으신 분들도 접속시도조차 하질 못할겁니다
제 글을 이해 못하신거 같은데 복수만 적어논게 아니라 신고 방법도 염두에 뒀습니다
가장 적법한 절차가 뭔지 KLDP회원님들에게 조언을 구한겁니다
글을 격하게 썼던점 사과드립니다
ㅇㅅㅇ...
지워버림
---------------------------------------------------------------------------------------------------------------
루비 온 레일즈로 만들고 있는 홈페이지 입니다.
http://jihwankim.co.nr
여러 프로그램 소스들이 있습니다. 와서 받으삼.
---------------------------------------------------------------------------------------------------------------
루비 온 레일즈로 만들고 있는 홈페이지 입니다.
http://jihwankim.co.nr
여러 프로그램 소스들이 있습니다.
필요하신분은 받아가세요.
fail2ban
fail2ban 설치하세요.
그리고 기분 상하신건 알겠는데 여기 분들이 침입시도한거 아니니까
적절한 용어의 구사를...
=======================================================================
오늘 우리는 동지를 땅에 묻었습니다. 그러나 땅은 이제 우리들의 것입니다.
아직도 우리의 적은 강합니다. 그러나 우리는 그들보다 많습니다.
항상 많을 것입니다.
오늘 우리는 동지를 땅에 묻었습니다. 그러나 땅은 이제 우리들의 것입니다.
아직도 우리의 적은 강합니다. 그러나 우리는 그들보다 많습니다.
항상 많을 것입니다.
fail2ban
방화벽으로 막혀있긴한데 설치하면 괜찮을거 같군요
공부가 되었습니다^^
경찰청
경찰청 사이버테러대응센터가 있는데, 제가 민원 넣어본 적이 없어서 잘 모르겠습니다.
http://www.ctrc.go.kr/
---- 절취선 ----
http://blog.peremen.name
확실한
확실한 방법(이론상으로만)이군요...
쿵 사이버신고에 접속시도건으로 신고하는건 없군요;;
도움이 되었습니다 감사합니다
바보가 아닌 이상
바보가 아닌 이상 자기 소유의 시스템에서 공격하진 않았을겁니다.
대부분의 서버가 해킹되어 또 다른 해킹의 경유지 역할을 하고 있습니다.
fail2ban이 그나마 괜찮은 대응 방법 같구요,
당연한 이야기지만 ssh 루트 접속은 불가능하도록 설정하고,
패스워드는, 제 경우에는, 좋아하는 책의 한 문장을 통째로 입력하거나 하는게 좋습니다. (패스워드 추측 불가하도록..)
또, 22번 포트를 다른 포트로 변경해도 꽤나 효과가 있습니다.
제 개인 소유의 서버에는 매일 세계 수많은 곳의 사용자들이 brute force attack을 시도합니다.
fail2ban을 설치해놔서 최대 3번 이상 시도하면 지정한 시간동안 아예 접근을 금지하도록 해놨는데도
줄기차게 접근합니다.
--->
데비안 & 우분투로 대동단결!
--->
데비안 & 우분투로 대동단결!
아 그렇군요
경유지를 통해서 공격한다면 복수하기란 쉽지 않겠군요
복수는 포기하고 신고 방법을 찾아야겠네요 대단히 감사합니다
fail2ban은 윗분이 추천해주셨는데 일단 해두면 괜찮을거 같네요
제 개인대응은 방화벽으로 되어있어서 외부에서 침입은 없다고 할수 있습니다
다만 방화벽 설정이 잘못되있어서 이번에 공격을 당하게 된거죠
이번 사건을 계기로 그 부분을 찾아서 고칠수 있었습니다
님의 개인서버도 공격을 많이 받는다면 방화벽 설정으로 아에 허용된 주소 외에 외부접속을 차단해두시는게 좋을거 같네요
음..
신고방법 없다고 보시면 되고요.
안당하면 장땡이라 생각하시면 됩니다 아마 저거 관련해서 신고하시려면 ㅋㅋㅋ
수천 수백곳을 신고해야 할듯합니다.
그래도 신고하고 싶으시면 국내의 경우 해당아이피의 ISP 에 신고하게 되면
어느정도 되긴합니다 ISP 에서 관리자에게 통보해줍니다.
ssh 의 경우는 포트를 바꾸어 사용하는것도 아주 좋고 아니면 fail2ban 이나 iptable 등으로
대처하면 됩니다. 바보같이 test /test 같은 계정 안만들고 사용하면 됩니다.
정말우낀건 그런분 꼭 있습니다.
--------------- 절취선 ------------------------
하늘은 스스로 삽질하는 자를 삽으로 팬다.
http://glay.pe.kr
--------------- 절취선 ------------------------
하늘은 스스로 삽질하는 자를 삽으로 팬다.
http://glay.pe.kr
답변 감사합니다
신고 복수 다 마땅치가 않으니 안타깝네요ㅠㅠ
걍 막아놔야겠네요
제가 말한 방화벽이 iptables로 이미 구축한거고 fail2ban은 추가로 고려중입니다
국가별 ip block 사용
국가별 ip block 사용하면 위험이 크게 줄것같은데.
해당 서버에 절대로 접속할 일없을것 같은 국가 ip는
모두 막으면 위험자체가 많이 줄겠죠.
물론, 그반대로 접속할만한 ip 와 port들만 만 허락하는게 더 편할수도 있고요.
kernel, iptables level등에서도 다양한 방법이 있어, 찾으면 어렵지 않게 나올겁니다.
답변 감사합니다
제가 언급한 방화벽이 iptables 규칙설정에 의한 접속 제한적허용입니다
kernel 같은 쪽은 공부를 해야할거 같군요
답변감사합니다
그럴 때 조치는
바른말을 쓰시면 됩니다.
아참 포트도 뭐 2222 이런거면 되겠네용
ssh라면 암호인증
ssh라면 암호인증 대신 키파일로 인증하는 방법이 있습니다.
이걸 쓰면 중국발 brute force attack을 다 무력화시킬 수 있습니다.
그리고 저는 저런 ip 보면 시간 날 때마다 nmap 돌려서 열린 포트 확인하죠.
Written By the Black Knight of Destruction
Written By the Black Knight of Destruction
키파일이군요
키파일이라면 fail2ban보다 보안이 더 강력한 것 같군요
좋은 정보 감사합니다^^
으음
내 서버는 해킹할것도 없는데 설마 해킹할리는 없겟죠?
-ㅅ- ...
내 서버도 걱정이 되네염... 나도 여기 나와있는데로 보안해야 하나..으흠...
---------------------------------------------------------------------------------------------------------------
루비 온 레일즈로 만들고 있는 홈페이지 입니다.
http://jihwankim.co.nr
여러 프로그램 소스들이 있습니다. 와서 받으삼.
---------------------------------------------------------------------------------------------------------------
루비 온 레일즈로 만들고 있는 홈페이지 입니다.
http://jihwankim.co.nr
여러 프로그램 소스들이 있습니다.
필요하신분은 받아가세요.
음..
오히려 제 서버는 가져갈게 진짜 1%도 없는데 해킹시도 하더군요
bookgekgom님은 홈페이지도 돌리고 계시는데 보안에 더 신경쓰셔야 하는건 아니신지 ㅎㅎ;
서버
어느 디렉토리 어느 파일에 해킹관련 로그가 뜨나요?
누비에게 광명을...
---------------------------------------------------------------------------------------------------------------
루비 온 레일즈로 만들고 있는 홈페이지 입니다.
http://jihwankim.co.nr
여러 프로그램 소스들이 있습니다. 와서 받으삼.
---------------------------------------------------------------------------------------------------------------
루비 온 레일즈로 만들고 있는 홈페이지 입니다.
http://jihwankim.co.nr
여러 프로그램 소스들이 있습니다.
필요하신분은 받아가세요.
ssh에서 root 접근을
ssh에서 root 접근을 막게 해주면 해킹을 많이 방지하는것 같아요~
제 서버에도 그렇게 설정을 해놨거든요~ㅋ
이미 해놨던거긴 하지만
답변 감사합니다
댓글 달기