현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

로그파일에서 누군가가 자꾸 su명령을 하는것이 기록되는데...

netizn82의 이미지
글쓴이: netizn82 / 작성시간: 토, 2005/04/23 - 4:32오후

안녕하세요!!

로그파일을 보니 누군가가 자꾸만 su명령어를 쓰는듯합니다.

[root@localhost cacti]# tail /var/log/messages
Apr 23 15:50:01 localhost crond(pam_unix)[14155]: session opened for user root by (uid=0)
Apr 23 15:50:01 localhost su(pam_unix)[14156]: session opened for user root by (uid=0)
Apr 23 15:50:02 localhost su(pam_unix)[14156]: session closed for user root
Apr 23 15:50:02 localhost crond(pam_unix)[14155]: session closed for user root
Apr 23 15:52:03 localhost proftpd[13664]: localhost (61.111.164.76[61.111.164.76]) - FTP session closed.
Apr 23 15:52:35 localhost proftpd[13910]: localhost (61.111.164.76[61.111.164.76]) - FTP no transfer timeout, disconnected.
Apr 23 15:55:01 localhost crond(pam_unix)[14277]: session opened for user root by (uid=0)
Apr 23 15:55:01 localhost su(pam_unix)[14278]: session opened for user root by (uid=0)
Apr 23 15:55:01 localhost su(pam_unix)[14278]: session closed for user root
Apr 23 15:55:01 localhost crond(pam_unix)[14277]: session closed for user root
[root@localhost cacti]#

루트의 비밀번호를 알아낼려고 하는건가요?

어떤조취를 취해야하는지 알려주시면 감사하겠습니다.

Forums: 
설치 및 활용 QnA
익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 토, 2005/04/23 - 5:11오후

아주 심각합니다.

crond 를 삭제하셔야 할 듯합니다.

warpdory의 이미지

글쓴이: warpdory / 작성시간: 토, 2005/04/23 - 5:32오후

벌써 누군가가 시스템을 뚫고 들어와 있는 거 같군요.

아니면 누군가 내부 사용자가 crond 를 이용해서 뚫으려고 주기적으로 뭔가 이것저것 password 에 입력하고 있든지요. (꼭 내부사용자는 아니더라도 외부에서 크래커가 뚫고 들어와서 내부 계정을 차지하고선 내부 사용자가 되어 있을 수도 있습니다.)

chkrootkit 이라는 것을 돌려 보세요...

없으면 검색하면 쉽게 찾을 수 있습니다.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

offree의 이미지

글쓴이: offree / 작성시간: 토, 2005/04/23 - 6:12오후

정상적인 것인지는 모르겠지만.. cron 부분은

cron 이 실행 될 때 마다, log 에 그런식으로 남는 것 같습니다.(비정상적인가요?)

crontab , cron.d , cron.hourly 등에 해당 시간간격으로 실행이 되고 있을 것 같네요.

보아하니..

Apr 23 15:50:01 localhost crond(pam_unix)[14155]: session opened for user root by (uid=0)
Apr 23 15:50:02 localhost crond(pam_unix)[14155]: session closed for user root
Apr 23 15:55:01 localhost crond(pam_unix)[14277]: session opened for user root by (uid=0)
Apr 23 15:55:01 localhost crond(pam_unix)[14277]: session closed for user root

5분 간격이네요. 아마도 mrtg 가 아닐까 생각이 드네요.

사용자가 바꾸어 나가자!!

= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com

selflost의 이미지

글쓴이: selflost / 작성시간: 토, 2005/04/23 - 8:25오후

offree wrote:
정상적인 것인지는 모르겠지만.. cron 부분은

cron 이 실행 될 때 마다, log 에 그런식으로 남는 것 같습니다.(비정상적인가요?)

저도 앞 글 보고 화들짝 놀라서 로그를 봤는데;;;;
이 말씀이 맞는듯;;;;

초보주제에 말이 많다;;;;
그래두 어쩔 수 없다....
안그러면 깝깝해 죽는다 ㅠㅠ

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 일, 2005/04/24 - 3:47오전

무단포옹 wrote:
아주 심각합니다.

crond 를 삭제하셔야 할 듯합니다.

아우.. 글재주가 없어서 죄송합니다.

사실 cacti라는 디렉토리명을 보고 NMS시스템이라고 간주하고

위 글을 적었는데 의미는, cron job이라 별로 위험이 없다고 생각하고 적었는데
적고 나서 읽어보니 의도가 제대로 전달이 안된 것이 아닌 가 싶습니다.

cacti 가 제가 아는 그 “칵티”라면 MRTG수준의 데이터 게더링이 아닌가 싶습니다.
아우.. 아우.. 그니까 의도된 시스템 잡이라고 생각합니다. 아우..아우..

fourmodern의 이미지

글쓴이: fourmodern / 작성시간: 일, 2005/04/24 - 2:43오후

무단포옹 wrote:
아주 심각합니다.

crond 를 삭제하셔야 할 듯합니다.


끝에 이모티콘을 살짝 붙이셨으면.. 잘 전달되었을텐데요..^^

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.