해킹당한것 같습니다...
서버가 약간 느려진 것 같아서...
살펴보니...
# top 내용
06:17:01 up 6:52, 1 user, load average: 16.73, 9.57, 8.73
CPU states: 3.6% user, 96.4% system, 0.0% nice, 0.0% idle
Mem: 190412K total, 54772K used, 135640K free, 7068K buffers
Swap: 538168K total, 0K used, 538168K free, 33048K cached
PID USER PRI NI SIZE RSS SHARE STAT %CPU %MEM TIME COMMAND
1490 root 20 0 436 436 364 R 5.9 0.2 0:09 vadimII
1493 root 20 0 436 436 364 R 5.9 0.2 0:08 vadimII
1502 root 20 0 436 436 364 R 5.9 0.2 0:06 vadimII
1552 root 20 0 436 436 364 R 5.7 0.2 0:03 vadimII
1499 root 18 0 436 436 364 R 5.5 0.2 0:06 vadimII
1534 root 20 0 436 436 364 R 5.3 0.2 0:04 vadimII
1487 root 16 0 436 436 364 R 5.1 0.2 0:10 vadimII
1496 root 20 0 436 436 364 R 5.1 0.2 0:08 vadimII
1520 root 16 0 436 436 364 R 4.9 0.2 0:05 vadimII
1555 root 16 0 436 436 364 R 4.9 0.2 0:02 vadimII
1511 root 20 0 436 436 364 R 4.7 0.2 0:05 vadimII
1526 root 20 0 436 436 364 R 4.7 0.2 0:05 vadimII
1528 root 20 0 436 436 364 R 4.7 0.2 0:05 vadimII
1558 root 20 0 436 436 364 R 4.7 0.2 0:02 vadimII
1508 root 15 0 436 436 364 R 4.5 0.2 0:06 vadimII
1532 root 18 0 436 436 364 R 4.3 0.2 0:04 vadimII
1505 root 16 0 436 436 364 R 4.1 0.2 0:05 vadimII
1523 root 17 0 436 436 364 R 4.1 0.2 0:05 vadimII
1514 root 15 0 436 436 364 R 3.7 0.2 0:05 vadimII
1516 root 15 0 436 436 364 R 3.7 0.2 0:05 vadimII
2 root 9 0 0 0 0 SW 0.0 0.0 0:00 keventd
3 root 19 19 0 0 0 RWN 0.0 0.0 0:00
ksoftirqd_CPU0
4 root 9 0 0 0 0 SW 0.0 0.0 0:00 kswapd
5 root 9 0 0 0 0 SW 0.0 0.0 0:00 bdflush
6 root 9 0 0 0 0 SW 0.0 0.0 0:00 kupdated
7 root 9 0 0 0 0 SW 0.0 0.0 0:00 i2oevtd
10 root 9 0 0 0 0 SW 0.0 0.0 0:03 kjournald
45 root 9 0 0 0 0 SW 0.0 0.0 0:00 khubd
51 root 9 0 0 0 0 SW 0.0 0.0 0:00 kapmd
86 root 9 0 0 0 0 SW 0.0 0.0 0:00 kjournald
87 root 9 0 0 0 0 SW 0.0 0.0 0:00 kjournald
110 root 9 0 0 0 0 SW 0.0 0.0 0:00 eth0
vadimll 이게 뭔가요?
이거 해킹당한건가요?
# ps ax 내용
PID TTY STAT TIME COMMAND
2 ? SW 0:00 [keventd]
3 ? SWN 0:00 [ksoftirqd_CPU0]
4 ? SW 0:00 [kswapd]
5 ? SW 0:00 [bdflush]
6 ? SW 0:00 [kupdated]
7 ? SW 0:00 [i2oevtd]
10 ? SW 0:03 [kjournald]
45 ? SW 0:00 [khubd]
51 ? SW 0:00 [kapmd]
86 ? SW 0:00 [kjournald]
87 ? SW 0:00 [kjournald]
110 ? SW 0:00 [eth0]
115 ? SW 0:00 [eth1]
356 ? S 0:00 /sbin/syslogd
359 ? S 0:00 /sbin/klogd
411 tty1 S 0:00 /sbin/getty 38400 tty1
412 tty2 S 0:00 /sbin/getty 38400 tty2
413 tty3 S 0:00 /sbin/getty 38400 tty3
414 tty4 S 0:00 /sbin/getty 38400 tty4
415 tty5 S 0:00 /sbin/getty 38400 tty5
416 ? S 0:00 reaim
417 tty6 S 0:00 /sbin/getty 38400 tty6
422 pts/0 T 0:00 ftp 211.239.53.244
426 pts/0 S 0:00 -su
428 pts/0 T 0:00 vi syslog
699 ? S 0:00 ./siz ifconfigx /sbin/ifconfig
1487 pts/2 R 0:16 ./vadimII 194.185.248.38 110 1000000 0
1490 pts/2 R 0:15 ./vadimII 194.185.248.38 110 1000000 0
1493 pts/2 R 0:15 ./vadimII 194.185.248.38 110 1000000 0
1496 pts/2 R 0:14 ./vadimII 194.185.248.38 110 1000000 0
1499 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1502 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1505 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1508 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1511 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1514 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1516 pts/2 R 0:12 ./vadimII 194.185.248.38 80 1000000000 0
1520 pts/2 R 0:11 ./vadimII 194.185.248.38 53 10000000000 0
1523 pts/2 R 0:11 ./vadimII 194.185.248.38 53 10000000000 0
1526 pts/2 R 0:11 ./vadimII 194.185.248.38 53 10000000000 0
1528 pts/2 R 0:11 ./vadimII 194.185.248.38 53 10000000000 0
1532 pts/2 R 0:11 ./vadimII 194.185.248.38 53 10000000000 0
1534 pts/2 R 0:11 ./vadimII 194.185.248.38 53 10000000000 0
1546 pts/0 T 0:00 top
1552 pts/2 R 0:09 ./vadimII 194.185.248.38 53 10000000000 0
1555 pts/2 R 0:09 ./vadimII 194.185.248.38 53 10000000000 0
1558 pts/2 R 0:09 ./vadimII 194.185.248.38 53 10000000000 0
@ 일단 재시작했더니 다시 저런것들이 생기더군요. DoS 공격같은거 경유지로
쓰는것 같은데 맞나요? 재시작했더니 194.185.248.38 저 아이피 주소가
다른것으로 바뀌더군요.
@ 리눅스 초보라서 이럴땐 어찌해야하는지... ㅡ.ㅠ
지금 log쪽 파일을 살펴보니...
일단 리눅스 서버를 외부와의 연결을 차단시켜놔서...
로그파일 내용을 어떻게 퍼올 수가 없네요.
/var/log의 auth.log 를보니
어제 서버를 새로 깔았는데, 내용중에 시간순서에
갑자기 어긋나게되어있는 것들이 몇줄보이더군요.
(어제 오후에 설치시작했는데, 오전시간으로
되어있는...)
mail이라는 아이디로 계속 접속을 시도하다가
결국 열어서 무슨 key를 만들어서 빼내가고..
결국 제 일반 접속시의 아이디를 알아내서
그걸로 뭘 한것 같은데... ㅡ.ㅠ
어제 전혀 몰랐는데, 제가 계속 셋팅때문에 삽질하는동안에도
접속시도가 계속 있었던 것 같습니다.
댓글 달기