현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

로그 분석에서의 의문점들..

kihoori의 이미지
글쓴이: kihoori / 작성시간: 금, 2003/03/14 - 5:50오후

[Fri Mar 14 04:02:00 2003] [error] mod_ssl: Init: (도매인이에요:443) Ops, no RSA or DSA server certificate found?!
[Fri Mar 14 04:02:00 2003] [error] mod_ssl: Init: (도매인이에요:443) You have to perform a *full* server restart when you added or
removed a certificate and/or key file

라는 메세지 입니다.. 이것은 httpd의 access_log에 있던건데요 이메세지를 뿌리고 아파치가 죽은듯.. 오늘 갑자기 아파치가 죽어 있기에 본건데요.. 원인과 해결책을 알고 계신분 없으신지요...ㅜ.ㅜ 갑자기 이렇게 죽는일이 있음 안데는뎅..

그다음으로.. /var/log/secure 파일을 보면여 접속한 아이피가 나오는데요
pid 접속한 서비스 명이 나오는데요..그 서비스의 어떤계정으로 접속했는지 알려면 어찌 해야 할런지요..

또 오늘 새벽에 누군가가 ftp로 접속을 계속 시도했는데요..
알수 없는계정을 마구 쳐서 들어 올려고 시도 한 아이피가 적혀 있더라구여..
이 아이피로 이사람이 어디서 이런짓을 했는지 알수는 없는지요??

ps.. 로그 분석하기가 여간 힘든게 아니네요.. :cry:
아참!!~~ 뽀나스로 rpm으로 깐 아파치를 http start하면 php와 연동 이 안되던데요.. 시작시 어떤옵션으로 시작하는지 알수 있는 방법은 없는지요

Forums: 
설치 및 활용 QnA
scobyseo의 이미지

글쓴이: scobyseo / 작성시간: 금, 2003/03/14 - 5:57오후

로그 내용을 보면, mod_ssl에서 certification에 관련된 내용이 설정되어 있지 않아서 죽어버린 것 같은데요...
왜 죽어야 했는지는 이해가 잘 안가긴 합니다. 누군가가 https로 접근을 했을 텐데..
보안 설정이 잘못되었거나, 그런 내용이 아닐지.. 확인해 보세요...
아~~ 어렵다..

ftp쪽 문제는 IP를 알고 있으면, whois 명령으로 해당하는 컴퓨터의 관리자를 알 수 있습니다.
그쪽에 요청해서 알아낼 수 있습니다만...
해킹 시도가 아닌 이상에야 제대로된 정보를 얻기는 힘들듯 합니다.

서명:
이것은 올리는 글에 첨부될 사인 문구입니다. 제한은 255 글자입니다

pynoos의 이미지

글쓴이: pynoos / 작성시간: 금, 2003/03/14 - 6:01오후

부분 답변입니다.

위의 apache 로그가 만약 갑자기 생긴것이라면, 누군가 https 를 사용해볼려고, 시도하다가 중단한 것이군요.

host 인증서가 설치되지 않으면, apache에서 https service를 할 수 없습니다.

---
http://coolengineer.com

kihoori의 이미지

글쓴이: kihoori / 작성시간: 금, 2003/03/14 - 6:07오후

pynoos 님께 부탁드립니다...

host인증서가 설치 되지 않았다는 말이 무슨 소린지 모르겠는데요..
https도 무엇인지.. 모르겠네요..

지금 서버에선 apache를 실행할수 없다는 말인지요?

헉.. 지금 보니.. httpd화일이 없어 졌네요!!.. 이게 어떻게 된거지..
해킹 당한걸까요?

pynoos의 이미지

글쓴이: pynoos / 작성시간: 금, 2003/03/14 - 7:52오후

httpd.conf 에서... 443 번 포트를 listen 하는 내용을 찾아보세요.

---
http://coolengineer.com

scobyseo의 이미지

글쓴이: scobyseo / 작성시간: 토, 2003/03/15 - 10:48오전

해킹 시도가 있었는지도 모르겠네요..
여러가지 정황으로 보아..
그래도.. 설마 httpd까지 지울까 싶습니다만.. --;
아파치를 https로 접근해서 죽이고, 그 사이에 들어온다...
ftp를 이상한 아이디를 넣어서 죽이고 그 사이에 들어온다...
둘다 가능한 이야기인 것 같네요...
일단 네트워크를 끊어놓고 처음부터 다시 확인해 보시길...

서명:
이것은 올리는 글에 첨부될 사인 문구입니다. 제한은 255 글자입니다

다즐링의 이미지

글쓴이: 다즐링 / 작성시간: 토, 2003/03/15 - 12:05오후

1. mod_ssl 사용시에 인증서가 없어서 그렇습니다.
mod_ssl 은 https 를 사용하게 해주는것이구요.

https 는 http 에 ssl을 붙여준는것에 불과합니다.
(그러니까 스니핑해도 안보일정도 '')

해결책은 인증서를 넣어주거나.
ssl 모듈을 안올리면 됩니다 (서비스에 사용하지 않는 것이라면..)

2. ftp로 막 접속하는것은. 여러가지 경우가 있을수 있지만.

보통의 경우 xxx한 warezer 들이 씁니다.

일반적으로 linux를 잘모르고 시스템을 설치하여 웹써비스나 여러가지 써비스를할경우에

ftp의 anonymous 계정이나 ftp 계정 backup 혹은 여러가지 계정으로 접속시도를 해보고

접속이 되면 그걸 공용으로 쓰는겁니다 -_-;

파일 올려서 딴 사람들이 받아가는용도로 쓰는것이지요.

물론 트래픽이 늘어나기때문에 그러한 시스템 계정들을 막으시거나 하면 문제가 없습니다.

3. secure로 username 을 알수는 없구요

/var/log/messages 를 같이 참조하셔야합니다.

시간으로 찻아보면 되겠죠.

kihoori wrote:
[Fri Mar 14 04:02:00 2003] [error] mod_ssl: Init: (도매인이에요:443) Ops, no RSA or DSA server certificate found?!
[Fri Mar 14 04:02:00 2003] [error] mod_ssl: Init: (도매인이에요:443) You have to perform a *full* server restart when you added or
removed a certificate and/or key file

라는 메세지 입니다.. 이것은 httpd의 access_log에 있던건데요 이메세지를 뿌리고 아파치가 죽은듯.. 오늘 갑자기 아파치가 죽어 있기에 본건데요.. 원인과 해결책을 알고 계신분 없으신지요...ㅜ.ㅜ 갑자기 이렇게 죽는일이 있음 안데는뎅..

그다음으로.. /var/log/secure 파일을 보면여 접속한 아이피가 나오는데요
pid 접속한 서비스 명이 나오는데요..그 서비스의 어떤계정으로 접속했는지 알려면 어찌 해야 할런지요..

또 오늘 새벽에 누군가가 ftp로 접속을 계속 시도했는데요..
알수 없는계정을 마구 쳐서 들어 올려고 시도 한 아이피가 적혀 있더라구여..
이 아이피로 이사람이 어디서 이런짓을 했는지 알수는 없는지요??

ps.. 로그 분석하기가 여간 힘든게 아니네요.. :cry:
아참!!~~ 뽀나스로 rpm으로 깐 아파치를 http start하면 php와 연동 이 안되던데요.. 시작시 어떤옵션으로 시작하는지 알수 있는 방법은 없는지요

------------------------------------------------------------------------------------------------
Life is in 다즐링

kihoori의 이미지

글쓴이: kihoori / 작성시간: 토, 2003/03/15 - 5:02오후

감사합니다.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.