사정이 있어서 ssh2 를 키보드 인증으로 열어두고 있기는 한데, 끝도 없이 접속을 시도하는군요. 뭐 단순한 놈이거니 했는데.. 어느새 사용자중 한명의 암호를 알아내고는 접속에 성공한 모양입니다. 무언가 해내지는 못한 모양이지만.. 찝찝함이 스멀스멀..
이럴때 어떤걸 체크해보는게 좋을까요.
1. 루트킷 체크
2. aide/tripwire 체크 (이미 설치 안되어있다면 못함)
3. 사용자 암호가 무엇이었는지 알아보고 처단!
4. ssh 접속이 어렵게 만듦 - 포트를 옮기거나, n회 연속 실패시 아예 일정시간 동안 연결 끊어버리거나... (크론으로 한시간에 한번 되살려야 한다나 하더군요)
사정이 있어서 ssh2 를 키보드 인증으로 열어두고 있기는 한데, 끝도 없이 접속을 시도하는군요. 뭐 단순한 놈이거니 했는데.. 어느새 사용자중 한명의 암호를 알아내고는 접속에 성공한 모양입니다. 무언가 해내지는 못한 모양이지만.. 찝찝함이 스멀스멀..
이럴때 어떤걸 체크해보는게 좋을까요.
1. 루트킷 체크
2. aide/tripwire 체크 (이미 설치 안되어있다면 못함)
3. 사용자 암호가 무엇이었는지 알아보고 처단!
4. ssh 접속이 어렵게 만듦 - 포트를 옮기거나, n회 연속 실패시 아예 일정시간 동안 연결 끊어버리거나... (크론으로 한시간에 한번 되살려야 한다나 하더군요)
감사합니다.
루트킷 체크는 했고.. aide/tripwire 는 제가 모르는 부분이군요 :oops: 사용자 암호는 두벌씩을 qwerty 자판으로 옮겨적은 것으로 밝혀졌는데.. 중국인으로서는 알기 곤란했을텐데 어떻게 알았을지는 의문이지만 일단은 변경했습니다. ssh 접속을 5미만의 시도로만 접속할 수 있도록 해야겠군요. 설정법을 찾아서 또 후비적 후비적..
네 ^^ 물론 블록했습니다. 하지만 일단 접속을 했으니 삽질을 해두었을거란 가정하에.. 지뢰를 탐색중입니다. -.-;;;
그냥 단순한 스크립키드인거 같기도 하지마는.. 역시 이 말못할 찝찝함이란..
guest 계정에 ㅤㅎㅝㄱ뀨 를 날려주는 더미쉘을 걸어둔게 있는데, 그걸 보고 열받아서 열심히 시도하는 건지도 모르겠네요. ^^
IP 블록은 미봉책이 아닐까 합니다. 만일 아주 중요한 서버이라면 제가 사용하는 방법이 하나 있긴 한데... 널리 알려지면 이 역시 무용지물이 되기 때문에... 힌트만 드릴테니 한번 연구해 보세요. iptables와 같은 packet filter를 잘 셋팅하는 겁니다. ssh 포트를 문이라고 생각하면 문 자체의 존재를 없애버렸다가 내부자끼리만 아는 프로토콜(packet filter로 구현한, 조잡하지만 저런 공격에 효과적인)을 만듭니다. 문을 열려면 먼저 문이 생기도록 하는 동작을 한 후, 문이 생기면(ssh port가 열리면) 연결후 문을 사라지게 하는 동작을 합니다. 이후에 ssh에 찝접되는 이들은 열려있는 ssh 포트를 찾을 수 없게 됩니다. 물론, 문을 생기게 하고 사라지게 하는 순간 잠깐의 기회(제 경우는 10초 정도)가 있지만 그래봤자 암호 한번 시도해 볼만한 시간 밖에는 안됩니다.
제가 이 방법 사용한 이후 단 1명도 찝접되는 것을 보지 못했습니다. 덕분에 로그파일 살펴보는 것이 한결 수월해 졌답니다.
하나더. 루트킷 체크는 이미 알려진 루트킷에 대해서만 유용하므로, 한번 침입 당했다면 침입당하기 이전 백업으롤 돌아가는 것이 안전하다고 봅니다. 일단 침입 당한 시스템은 믿을 수 없다는 것이 제 생각입니다(단, tripwire나 aide 제대로 세팅하여 사용한다면 정확히 찝어낼 수 있기 때문에 일이 훨씬 수월해짐).
Re: 중국 해커가 문제는 문제군요 -.-;;
1. 루트킷 체크
2. aide/tripwire 체크 (이미 설치 안되어있다면 못함)
3. 사용자 암호가 무엇이었는지 알아보고 처단!
4. ssh 접속이 어렵게 만듦 - 포트를 옮기거나, n회 연속 실패시 아예 일정시간 동안 연결 끊어버리거나... (크론으로 한시간에 한번 되살려야 한다나 하더군요)
http://lisp.or.kr http://lisp.kldp.org - 한국 리습 사용자 모임
Re: 중국 해커가 문제는 문제군요 -.-;;
감사합니다.
루트킷 체크는 했고.. aide/tripwire 는 제가 모르는 부분이군요 :oops: 사용자 암호는 두벌씩을 qwerty 자판으로 옮겨적은 것으로 밝혀졌는데.. 중국인으로서는 알기 곤란했을텐데 어떻게 알았을지는 의문이지만 일단은 변경했습니다. ssh 접속을 5미만의 시도로만 접속할 수 있도록 해야겠군요. 설정법을 찾아서 또 후비적 후비적..
----
http://returnet.blogdns.com
해당 ip 블록해버리세요.
해당 ip 블록해버리세요.
--->
데비안 & 우분투로 대동단결!
[quote="kirrie"]해당 ip 블록해버리세요.[/quote]
네 ^^ 물론 블록했습니다. 하지만 일단 접속을 했으니 삽질을 해두었을거란 가정하에.. 지뢰를 탐색중입니다. -.-;;;
그냥 단순한 스크립키드인거 같기도 하지마는.. 역시 이 말못할 찝찝함이란..
guest 계정에 훡뀨 를 날려주는 더미쉘을 걸어둔게 있는데, 그걸 보고 열받아서 열심히 시도하는 건지도 모르겠네요. ^^
----
http://returnet.blogdns.com
[quote="returnet"][quote="kirrie"]해당 ip
IP 블록은 미봉책이 아닐까 합니다. 만일 아주 중요한 서버이라면 제가 사용하는 방법이 하나 있긴 한데... 널리 알려지면 이 역시 무용지물이 되기 때문에... 힌트만 드릴테니 한번 연구해 보세요. iptables와 같은 packet filter를 잘 셋팅하는 겁니다. ssh 포트를 문이라고 생각하면 문 자체의 존재를 없애버렸다가 내부자끼리만 아는 프로토콜(packet filter로 구현한, 조잡하지만 저런 공격에 효과적인)을 만듭니다. 문을 열려면 먼저 문이 생기도록 하는 동작을 한 후, 문이 생기면(ssh port가 열리면) 연결후 문을 사라지게 하는 동작을 합니다. 이후에 ssh에 찝접되는 이들은 열려있는 ssh 포트를 찾을 수 없게 됩니다. 물론, 문을 생기게 하고 사라지게 하는 순간 잠깐의 기회(제 경우는 10초 정도)가 있지만 그래봤자 암호 한번 시도해 볼만한 시간 밖에는 안됩니다.
제가 이 방법 사용한 이후 단 1명도 찝접되는 것을 보지 못했습니다. 덕분에 로그파일 살펴보는 것이 한결 수월해 졌답니다.
하나더. 루트킷 체크는 이미 알려진 루트킷에 대해서만 유용하므로, 한번 침입 당했다면 침입당하기 이전 백업으롤 돌아가는 것이 안전하다고 봅니다. 일단 침입 당한 시스템은 믿을 수 없다는 것이 제 생각입니다(단, tripwire나 aide 제대로 세팅하여 사용한다면 정확히 찝어낼 수 있기 때문에 일이 훨씬 수월해짐).
http://lisp.or.kr http://lisp.kldp.org - 한국 리습 사용자 모임
중국쪽에서 사용하는 ip 대역이 어떻게 되는지 알 수 없을까요?저
중국쪽에서 사용하는 ip 대역이 어떻게 되는지 알 수 없을까요?
저두 몇 개 열어 놓았는데 찜찜 하네요
확 다 막아 버려야지
중국 쪽에서 들어 오는 스팸도 장난이 아니에요
[quote="vecter"]중국쪽에서 사용하는 ip 대역이 어떻게 되는
제가 아는 건
다 쓰려고 했으나 너무 많아 줄입니다. 한 250개 정도됩니다. 출처는 기억 나지 않지만 공개된 정보 입니다.
----------------------------------------
http://moim.at
http://mkhq.co.kr
혹시 있으시면 파일을 올려주시면 안될까요? ^^
자료 공유 해 주셨으면 감사하겠습니다.
http://software77.net/cgi-bin
http://software77.net/cgi-bin/ip-country/geo-ip.pl
Country Lookup에 cn을 넣고 Show ALL IPs에 체크하시면 대역 정보가 나옵니다.
그것 보다는 /etc/hosts.allow와 스크립트를 이용하여 효과적으로 막을 수 있는듯 합니다.
저도 예전에 유럽쪽 애들이 들어와서 제가 관리하는 서버를 모두 망쳤던 적이 있었습니다.
그때는 저의 계정 사용자가 ID와 Passwd를 같이 써서 그랬었죠...
sshd로 들어오는 SSH Brute-Force Attacks (SSH 무차별 공격)을 막는 방법은 여러가지 있는 것으로
알고 있습니다.
아래 사이트를 방문하시면 좋은 해결책을 찾으실 수 있습니다.
참고로 저 같은 경우는 /etc/hosts.allow와 sshblock.sh라는 스크립트를 이용한 방법을 사용하고 있습니다.
사이트 :
http://la-samhna.de/library/brutessh.html
그것이 알고 싶당~