현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

secure log에 알 수 없는 로그가 잔뜩 쌓이는데, 뭔지 몰라서 질문 올립니다.

huso의 이미지
글쓴이: huso / 작성시간: 화, 2014/09/30 - 8:59오후

수고 많습니다.

secure.log에 알 수 없는 로그가 잔뜩 쌓이는데, 뭔지 몰라서 질문 올립니다.

아래에 같은 패턴의 로그 일부를 첨부해드립니다. 전체 로그는 첨부 파일로 올려지지 않아서, 일부 캡쳐 파일만 첨부해둡니다.
해킹 흔적인지, Warning 수준의 경미한 로그인지, 어떤 서비스에서 발생하는 건지, 어떻게 조치해야 하는지 등을 알고 싶은데, 검색을 해봐도 분명한 해답을 찾지 못하겠습니다.
조언을 부탁드립니다.

사용 환경
CentOS 6.4 / Webmin / Apache / Bind 미사용(외부 웹DNS 활용) / Postfix Mail Server / Dovecot IMAP / POP3 / ProFTPd / SSH / MySQL /

/var/log/secure (707kB)

Sep 30 08:20:01 huso su: pam_unix(su:session): session opened for user pnuau by (uid=0)
Sep 30 08:20:01 huso su: pam_unix(su:session): session opened for user humanapart by (uid=0)
Sep 30 08:20:01 huso su: pam_unix(su:session): session closed for user humanapart
Sep 30 08:20:01 huso su: pam_unix(su:session): session opened for user humanapart by (uid=0)
Sep 30 08:20:01 huso su: pam_unix(su:session): session closed for user humanapart
Sep 30 08:20:01 huso su: pam_unix(su:session): session opened for user humanapart by (uid=0)
Sep 30 08:20:02 huso su: pam_unix(su:session): session closed for user humanapart
Sep 30 08:20:02 huso su: pam_unix(su:session): session opened for user humanapart by (uid=0)
Sep 30 08:20:02 huso su: pam_unix(su:session): session closed for user pnuau
Sep 30 08:20:02 huso su: pam_unix(su:session): session closed for user humanapart
Sep 30 08:20:02 huso su: pam_unix(su:session): session opened for user pnuau by (uid=0)
Sep 30 08:20:03 huso su: pam_unix(su:session): session closed for user pnuau
Sep 30 08:20:03 huso su: pam_unix(su:session): session opened for user pnuau by (uid=0)
Sep 30 08:20:04 huso su: pam_unix(su:session): session closed for user pnuau
Sep 30 08:20:04 huso su: pam_unix(su:session): session opened for user pnuau by (uid=0)
Sep 30 08:20:05 huso su: pam_unix(su:session): session closed for user pnuau

File attachments: 
첨부파일 크기
Image icon secure_log.jpg756.15 KB
Forums: 
설치 및 활용 QnA
huso의 이미지

글쓴이: huso / 작성시간: 화, 2014/09/30 - 9:01오후

위 본문에 첨언합니다.

아, 그리고 위의 유저명은 본 서버에 설정되어 있는 유저명입니다.

김정균의 이미지

글쓴이: 김정균 / 작성시간: 화, 2014/09/30 - 9:18오후

해당 account에서 또는 해당 account로 su 명령을 실행시킨 로그 입니다.

huso의 이미지

글쓴이: huso / 작성시간: 화, 2014/09/30 - 10:06오후


신속한 답변에 감사드립니다.

외부에서의 해킹시도가 있었다는 뜻인지, 뭘 막아야 할른지 알수 있으면 좋겠습니다만...

제가 허용한 ip 이외의 sshd 접근 차단하였고, ProFTPd는 막지는 않았으나, 저 이외의 사용자는 없고,
속을 모르고 돌리고 있는 것은 Postfix 와 이메일 서버 관련인데, 메일서버를 중지시킬 수는 없고,
풀리지 않는 답답함이 남습니다.

연휴를 기해서 이메일 서버를 중지시키고 살펴봐야겠습니다.
감사합니다.

huso의 이미지

글쓴이: huso / 작성시간: 수, 2014/10/01 - 9:46오후

원인은 webmin에서 webalizer 을 실행하기 위한 crontab 설정이 원인이었습니다.

원인을 몰라서 Postfix Dovecot 등을 중지시키고 살펴보기도 했으나, 여전히 로그가 쌓였었는데,
IDC 센터 관리를 하고 있는 수퍼유저코리아에 자문을 구해보았더니, crond에 설정된 것이 원인이라고 진단해주었습니다.

해킹 당한 것이 아니어서 다행이었고, crontab 설정을 중지해보았더니 더 이상 그런 로그는 쌓이지 않더라는 것을 확인할 수 있었습니다.

혹시 있을 지 모를 webmin 사용자는 참고하시기 바랍니다.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.