현재 위치

›› Forums ›› 재미 ›› 자유 게시판

해킹 봇이 들어오려나..

returnet의 이미지
글쓴이: returnet / 작성시간: 금, 2005/05/27 - 3:43오후

Quote:
To: root@localhost.localdomain
Subject: localhost 2005-05-27 12:02 Security Events
From: logcheck@localhost.localdomain
Date: Fri, 27 May 2005 12:02:12 +0900

This email is sent by logcheck. If you wish to no-longer receive it,
you can either deinstall the logcheck package or modify its
configuration file (/etc/logcheck/logcheck.conf).

Security Events
=-=-=-=-=-=-=-=
May 27 11:13:17 localhost sshd[22009]: Failed password for root from
+::ffff:65.104.185.240 port 20483 ssh2
May 27 11:13:23 localhost sshd[22011]: Failed password for root from
+::ffff:65.104.185.240 port 20668 ssh2

어느날 접속해보니 이런 보안 보고가 날라와 있더군요. 계속 들어오는 걸 보니 아직 성공은 못한거 같지마는.. 기분이 찝찝 합니다. 데비안 사지에 업데이트는 매번 해주고 있지마는.. 보안에 자신 없어진지 오래라.. 휴..

그나저나 이런 공격도 들어오고, 웹서버 만든지도 꽤 되어버렸다는 생각이.. 과연 힘들군요. 신경도 쓰이고. 처음에는 그냥 웹서버 돌리는 것뿐인데라고 생각 했건만..

Forums: 
자유 게시판
guntoo의 이미지

글쓴이: guntoo / 작성시간: 금, 2005/05/27 - 4:18오후

그래야 정신건강에 도움됩니다.

returnet의 이미지

글쓴이: returnet / 작성시간: 금, 2005/05/27 - 4:23오후

역시나 그런가요..

하지만 프로세스 리스트에서 정체 불명의 펄 스크립트를 발견했습니다.
디스크상에서는 찾을 수가 없는데 어찌 된일인지 --;;

휴.. 왠지 삽질의 시작일거 같네요.

----
http://returnet.blogdns.com

kirrie의 이미지

글쓴이: kirrie / 작성시간: 금, 2005/05/27 - 6:18오후

업데이트에 충실하고 루트 비번을 수시로 바꿔주며(추측하기 어려운 놈으로), 불필요한 데몬만 내려준다면 저런식의 무작위 패스워드 때려맞추기 공격은 거의 막아낼 수 있을 것 같은데요..
걱정되신다면 동일한 아이피에 대해서 패스워드가 몇 번 이상 틀리면 접근을 차단하도록 스크립트를 만드셔도 될 듯 하고..
로컬 계정 사용자들 단속도 좀 신경쓰시고..

단 그 담의 웹서버가 문젠데.. 요즘엔 웹 어플리케이션 취약점을 통해서 서버의 로컬 계정을 따는게 유행인 것 같더군요.. 이건 계속 보안뉴스에 귀를 기울이는 수 밖에 없는 것 같습니다..

저는 제 서버를 사용중인 친구들 계정의 원격 접속은 모두 막아놓았습니다. ftp만 열어주었죠. 아직까진 수가 그리 많지 않아서 친구들이 많이 쓰는 제로보드는 제가 일일이 패치해줍니다.
또 ftp도 pam이 아니라 디비로 인증하도록 해주면 보안에 더 안전하지 않을까 하는 생각이...

--->
데비안 & 우분투로 대동단결!

stbaram의 이미지

글쓴이: stbaram / 작성시간: 금, 2005/05/27 - 6:19오후

헉.... 저는 한 일주일전쯤 서버하나가 완전히 당했었드랬습니다.
기분 더럽더군요..
남아있는 로그라고는

Quote:
cd ./php
./d
cd ..

단지 이것뿐이었는데 시스템이 완죤히 작살났드랬습니다.. :x
리부팅도 안되고, 게다가 바다건너있는 녀석이라 보러 갈수도 없고..
결국 완전히 밀고 다시 깔았습니다..ㅠ.ㅠ
웃기는건 움직이고 있던 웹서버는 열심히 돌아가더군요..
까딱하면 모르고 넘어갈뻔 했습니다.
망치의 이미지

글쓴이: 망치 / 작성시간: 금, 2005/05/27 - 6:30오후

stbaram wrote:
헉.... 저는 한 일주일전쯤 서버하나가 완전히 당했었드랬습니다.
기분 더럽더군요..
남아있는 로그라고는
Quote:
cd ./php
./d
cd ..

단지 이것뿐이었는데 시스템이 완죤히 작살났드랬습니다.. :x
리부팅도 안되고, 게다가 바다건너있는 녀석이라 보러 갈수도 없고..
결국 완전히 밀고 다시 깔았습니다..ㅠ.ㅠ
웃기는건 움직이고 있던 웹서버는 열심히 돌아가더군요..
까딱하면 모르고 넘어갈뻔 했습니다.

역시 웹프로그램 취약점을 통한것이었나요..?

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

stbaram의 이미지

글쓴이: stbaram / 작성시간: 금, 2005/05/27 - 6:36오후

linn2000 wrote:
역시 웹프로그램 취약점을 통한것이었나요..?

그렇다고 보여집니다.
ssh는 포트도 바꾸고 접속가능한 아이피도 정해져 있으므로
다른곳에서는 접속할수 없었습니다.
단지 웹과 ftp만 열려있었는데..ㅠ.ㅠ.. 일반사용자계정으로는
ftp접속만 되도록 해놓았었는데 말이죠.
웹어플보안에 대해 공부좀 해야겠습니다.

둘러보기