해킹당한것 같습니다...

hezron의 이미지

서버가 약간 느려진 것 같아서...
살펴보니...

# top 내용

06:17:01 up 6:52, 1 user, load average: 16.73, 9.57, 8.73
CPU states: 3.6% user, 96.4% system, 0.0% nice, 0.0% idle
Mem: 190412K total, 54772K used, 135640K free, 7068K buffers
Swap: 538168K total, 0K used, 538168K free, 33048K cached

PID USER PRI NI SIZE RSS SHARE STAT %CPU %MEM TIME COMMAND
1490 root 20 0 436 436 364 R 5.9 0.2 0:09 vadimII
1493 root 20 0 436 436 364 R 5.9 0.2 0:08 vadimII
1502 root 20 0 436 436 364 R 5.9 0.2 0:06 vadimII
1552 root 20 0 436 436 364 R 5.7 0.2 0:03 vadimII
1499 root 18 0 436 436 364 R 5.5 0.2 0:06 vadimII
1534 root 20 0 436 436 364 R 5.3 0.2 0:04 vadimII
1487 root 16 0 436 436 364 R 5.1 0.2 0:10 vadimII
1496 root 20 0 436 436 364 R 5.1 0.2 0:08 vadimII
1520 root 16 0 436 436 364 R 4.9 0.2 0:05 vadimII
1555 root 16 0 436 436 364 R 4.9 0.2 0:02 vadimII
1511 root 20 0 436 436 364 R 4.7 0.2 0:05 vadimII
1526 root 20 0 436 436 364 R 4.7 0.2 0:05 vadimII
1528 root 20 0 436 436 364 R 4.7 0.2 0:05 vadimII
1558 root 20 0 436 436 364 R 4.7 0.2 0:02 vadimII
1508 root 15 0 436 436 364 R 4.5 0.2 0:06 vadimII
1532 root 18 0 436 436 364 R 4.3 0.2 0:04 vadimII
1505 root 16 0 436 436 364 R 4.1 0.2 0:05 vadimII
1523 root 17 0 436 436 364 R 4.1 0.2 0:05 vadimII
1514 root 15 0 436 436 364 R 3.7 0.2 0:05 vadimII
1516 root 15 0 436 436 364 R 3.7 0.2 0:05 vadimII
2 root 9 0 0 0 0 SW 0.0 0.0 0:00 keventd
3 root 19 19 0 0 0 RWN 0.0 0.0 0:00
ksoftirqd_CPU0
4 root 9 0 0 0 0 SW 0.0 0.0 0:00 kswapd
5 root 9 0 0 0 0 SW 0.0 0.0 0:00 bdflush
6 root 9 0 0 0 0 SW 0.0 0.0 0:00 kupdated
7 root 9 0 0 0 0 SW 0.0 0.0 0:00 i2oevtd
10 root 9 0 0 0 0 SW 0.0 0.0 0:03 kjournald
45 root 9 0 0 0 0 SW 0.0 0.0 0:00 khubd
51 root 9 0 0 0 0 SW 0.0 0.0 0:00 kapmd
86 root 9 0 0 0 0 SW 0.0 0.0 0:00 kjournald
87 root 9 0 0 0 0 SW 0.0 0.0 0:00 kjournald
110 root 9 0 0 0 0 SW 0.0 0.0 0:00 eth0

vadimll 이게 뭔가요?
이거 해킹당한건가요?

# ps ax 내용
PID TTY STAT TIME COMMAND
2 ? SW 0:00 [keventd]
3 ? SWN 0:00 [ksoftirqd_CPU0]
4 ? SW 0:00 [kswapd]
5 ? SW 0:00 [bdflush]
6 ? SW 0:00 [kupdated]
7 ? SW 0:00 [i2oevtd]
10 ? SW 0:03 [kjournald]
45 ? SW 0:00 [khubd]
51 ? SW 0:00 [kapmd]
86 ? SW 0:00 [kjournald]
87 ? SW 0:00 [kjournald]
110 ? SW 0:00 [eth0]
115 ? SW 0:00 [eth1]
356 ? S 0:00 /sbin/syslogd
359 ? S 0:00 /sbin/klogd
411 tty1 S 0:00 /sbin/getty 38400 tty1
412 tty2 S 0:00 /sbin/getty 38400 tty2
413 tty3 S 0:00 /sbin/getty 38400 tty3
414 tty4 S 0:00 /sbin/getty 38400 tty4
415 tty5 S 0:00 /sbin/getty 38400 tty5
416 ? S 0:00 reaim
417 tty6 S 0:00 /sbin/getty 38400 tty6
422 pts/0 T 0:00 ftp 211.239.53.244
426 pts/0 S 0:00 -su
428 pts/0 T 0:00 vi syslog
699 ? S 0:00 ./siz ifconfigx /sbin/ifconfig
1487 pts/2 R 0:16 ./vadimII 194.185.248.38 110 1000000 0
1490 pts/2 R 0:15 ./vadimII 194.185.248.38 110 1000000 0
1493 pts/2 R 0:15 ./vadimII 194.185.248.38 110 1000000 0
1496 pts/2 R 0:14 ./vadimII 194.185.248.38 110 1000000 0
1499 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1502 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1505 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1508 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1511 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1514 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1516 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1520 pts/2 R 0:11 ./vadimII 194.185.248.38 53 10000000000 0
1523 pts/2 R 0:11 ./vadimII 194.185.248.38 53 10000000000 0
1526 pts/2 R 0:11 ./vadimII 194.185.248.38 53 10000000000 0
1528 pts/2 R 0:11 ./vadimII 194.185.248.38 53 10000000000 0
1532 pts/2 R 0:11 ./vadimII 194.185.248.38 53 10000000000 0
1534 pts/2 R 0:11 ./vadimII 194.185.248.38 53 10000000000 0
1546 pts/0 T 0:00 top
1552 pts/2 R 0:09 ./vadimII 194.185.248.38 53 10000000000 0
1555 pts/2 R 0:09 ./vadimII 194.185.248.38 53 10000000000 0
1558 pts/2 R 0:09 ./vadimII 194.185.248.38 53 10000000000 0

@ 일단 재시작했더니 다시 저런것들이 생기더군요. DoS 공격같은거 경유지로
쓰는것 같은데 맞나요? 재시작했더니 194.185.248.38 저 아이피 주소가
다른것으로 바뀌더군요.

@ 리눅스 초보라서 이럴땐 어찌해야하는지... ㅡ.ㅠ

hezron의 이미지

일단 리눅스 서버를 외부와의 연결을 차단시켜놔서...
로그파일 내용을 어떻게 퍼올 수가 없네요.

/var/log의 auth.log 를보니
어제 서버를 새로 깔았는데, 내용중에 시간순서에
갑자기 어긋나게되어있는 것들이 몇줄보이더군요.
(어제 오후에 설치시작했는데, 오전시간으로
되어있는...)

mail이라는 아이디로 계속 접속을 시도하다가
결국 열어서 무슨 key를 만들어서 빼내가고..
결국 제 일반 접속시의 아이디를 알아내서
그걸로 뭘 한것 같은데... ㅡ.ㅠ

어제 전혀 몰랐는데, 제가 계속 셋팅때문에 삽질하는동안에도
접속시도가 계속 있었던 것 같습니다.

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.