[보안] /var/log/message 를 보다가..
글쓴이: offree / 작성시간: 목, 2004/07/29 - 10:21오후
아래와 같은 메시지가 적혀있는데요.
Jul 25 04:02:49 mail su(pam_unix)[15162]: session opened for user news by (uid=0)
이런것은 서버자체 프로세스에서 접근을 시도한 것 같은데요.
다른 서버를 보니,
Jul 28 08:56:38 openlinux su(pam_unix)[3815]: session opened for user cyrus by (uid=0)
도 있고, cyrus 는 imap 계정 인것 같구요.
그런데, sshd 로 접근해서 failure 가 된것을 보니 이것은 ssh 로 접근을 시도하다 실패한것이겠죠?
Jul 26 03:00:49 mail sshd(pam_unix)[31227]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=64.8.171.6 user=root
다른 서버도 확인해 보니, 이런 failure 가 꽤 있는 것 같습니다.
rhost 도 각각 다르고요.
해킹 시도를 하는 것 같은데..
방화벽으로 특정 host 만 ssh 를 걸어놓아야 겠습니다.
혹시 다른 곳을 더 살펴봐야 할 만한 곳이 있는지요?
Quote:
Jul 25 04:02:03 mail syslogd 1.4.1: restart.
Jul 25 04:02:49 mail su(pam_unix)[15162]: session opened for user news by (uid=0)
Jul 25 04:02:49 mail su(pam_unix)[15162]: session closed for user news
Jul 26 03:00:49 mail sshd(pam_unix)[31227]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=64.8.171.6 user=root
Jul 26 04:02:19 mail su(pam_unix)[31693]: session opened for user news by (uid=0)
Jul 26 04:02:19 mail su(pam_unix)[31693]: session closed for user news
Jul 27 04:02:48 mail su(pam_unix)[1568]: session opened for user news by (uid=0)
Jul 27 04:02:48 mail su(pam_unix)[1568]: session closed for user news
Jul 27 13:54:20 mail sshd(pam_unix)[2398]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=36.oc3networks.com user=root
Jul 27 13:54:23 mail sshd(pam_unix)[2400]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=36.oc3networks.com user=root
Jul 27 13:54:27 mail sshd(pam_unix)[2402]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=36.oc3networks.com user=root
Jul 28 04:02:19 mail su(pam_unix)[3914]: session opened for user news by (uid=0)
Jul 28 04:02:19 mail su(pam_unix)[3914]: session closed for user news
Jul 29 04:02:19 mail su(pam_unix)[6223]: session opened for user news by (uid=0)
Jul 29 04:02:19 mail su(pam_unix)[6223]: session closed for user news
Jul 29 19:26:24 mail sshd(pam_unix)[7491]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=pib4.catv-bauer.at user=root
Jul 29 19:26:24 mail sshd(pam_unix)[7492]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=pib4.catv-bauer.at user=root
Jul 29 19:26:24 mail sshd(pam_unix)[7498]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=pib4.catv-bauer.at user=root
Jul 29 19:26:24 mail sshd(pam_unix)[7490]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=pib4.catv-bauer.at user=root
Jul 29 19:26:24 mail sshd(pam_unix)[7493]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=pib4.catv-bauer.at user=root
Jul 29 19:26:24 mail sshd(pam_unix)[7497]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=pib4.catv-bauer.at user=root
Jul 29 19:26:24 mail sshd(pam_unix)[7501]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=pib4.catv-bauer.at user=root
Jul 29 19:26:24 mail sshd(pam_unix)[7489]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=pib4.catv-bauer.at user=root
ps. 접근하는 호스트를 보니 여기저기 많군요. 한국이 해킹 천국이라고 이곳저곳에서 시도를 하는 것인지..
해킹 체크를 해봐야 겠습니다. 방화벽으로 막아놓고 등등..
Forums:
집에와서 이것저것 보고 있는데..이놈의 집에 있는 초고속 라인을
집에와서 이것저것 보고 있는데..
이놈의 집에 있는 초고속 라인을 타고 들어오는 놈들도 있네요.
66.232.143.99
202.30.50.120
218.38.29.41
무슨의도로 그러는 것인지..
사용자가 바꾸어 나가자!!
= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com
댓글 달기