이게 해킹시도인가요?
아래는 /var/logsecure의 최신부분 입니다.
Oct 2 04:03:43 www sshd[28880]: Did not receive identification string from ::ffff:211.239.168.148
Oct 2 04:14:02 www sshd[28881]: Invalid user a from ::ffff:211.239.168.148
Oct 2 04:14:06 www sshd[28881]: Failed password for invalid user a from ::ffff:211.239.168.148 port 36704 ssh2
Oct 2 04:14:06 www sshd[28884]: Invalid user aa from ::ffff:211.239.168.148
Oct 2 04:14:08 www sshd[28884]: Failed password for invalid user aa from ::ffff:211.239.168.148 port 36912 ssh2
Oct 2 04:14:08 www sshd[28887]: Invalid user aaliah from ::ffff:211.239.168.148
Oct 2 04:14:11 www sshd[28887]: Failed password for invalid user aaliah from ::ffff:211.239.168.148 port 37180 ssh2
Oct 2 04:14:11 www sshd[28890]: Invalid user siemens from ::ffff:211.239.168.148
Oct 2 04:14:13 www sshd[28890]: Failed password for invalid user siemens from ::ffff:211.239.168.148 port 37445 ssh2
Oct 2 04:14:14 www sshd[28893]: Invalid user gu3st from ::ffff:211.239.168.148
Oct 2 04:14:16 www sshd[28893]: Failed password for invalid user gu3st from ::ffff:211.239.168.148 port 37769 ssh2
Oct 2 04:14:16 www sshd[28896]: Invalid user aarabi from ::ffff:211.239.168.148
Oct 2 04:14:19 www sshd[28896]: Failed password for invalid user aarabi from ::ffff:211.239.168.148 port 38131 ssh2
Oct 2 04:14:19 www sshd[28899]: Invalid user electrical from ::ffff:211.239.168.148
매일 열심히 뭔가를 하고 있군요. 포트를 막고 싶어도, 바꾸면 그만이니까.....
으째 해야 할지 모르겠습니다.
언제 뚫릴지.....
매일매일 조마조마한 심정으로 있습니다.
네.. ssh 에다가 bruteforce로 하는 공격입니다.요즘 그야
네.. ssh 에다가 bruteforce로 하는 공격입니다.
요즘 그야말로 넘쳐나는...
비밀번호를 예측하기 힘든걸로 잘 해주시면 별 문제 없을 겁니다..
--
Passion is like genius; a miracle.
네 감사합니다. (냉무)
네 감사합니다. (냉무)
자료는 저장하자!
저장해서 정리하지 않은 지식은 쓸모가 없다.
포트를 바꿔주시는건 어떤가요?ssh 포트를 바꾼후 부터는 로그 파일이
포트를 바꿔주시는건 어떤가요?
ssh 포트를 바꾼후 부터는 로그 파일이 보다 간결해 졌습니다.
다만 포트를 기억하고 있어야만 하겠지만요.
---
배려하는 마음을 갖자.
포트 바꿔요... 스케닝 하면..
안녕하세요?
이여송 사도요한입니다.
포트를 바꿔도 스켄 하면 다 나오기 때문에... 물론 막는 방법도 되겠지만... 그렇다고 해도 가장 좋은건 암호를 자주 바꾸는 거겠지요. 아니면 좀 복잡하게 하던지... 그게 수겠지요. 암호화는 어차피 서버쪽에서도 해야 하겠죠. 날라온 것은 디코딩 하고 그걸 다시 풀면 무작위로 작성되어 온 암호 부분을 Crypt하던지 MD5 방식으로 다시 암호화 해서 shadow와도 비교 해 보겠죠. 제가 어떤 글에도 적었던것 같은데, John으로 영문(대소문자), 숫자로 이루어진 암호 (에:Axbbf2d4J)를 일주일이나 깨려고 해 봤지만, 무작위 대입으로 그걸 계속 풀고 있으려니(제가 한게 아니지만) 답답하더군요. 물론 풀리지도 않았습니다. 단어 목록을 이용해서는 저런건 결코 풀 수가 없겠죠.
대충 어렵게 만들어 놓으세요... 푸훗...
그럼 괸찮을겁니다.
이여송 사도요한 드림.
사람천사
Brett> SSH is enabled by default in m
Brett> SSH is enabled by default in most BSD-ish operating systems,
Brett> and this makes us a bigger target for these bots than users of
Brett> OSes that don't come with SSH (not that they're not more
Brett> vulnerable in other ways!). Therefore, it's strongly
Brett> recommended that, where practical, everyone limit SSH logins to
Brett> the minimum possible number of users via the "AllowUsers"
Brett> directive. We also have a log monitor that watches the logs
Brett> (/var/log/auth.log in particular) and blackholes hosts that
Brett> seem to be trying to break in via SSH.
I have another angle. I run the following script on many of my
machines:
#!/bin/bash
# Copyright (c) 2005 DaveG.ca
# You may use this code under the GPL, version 2 or newer.
# firewall excessive ssh attempts
PATH=/bin:/sbin:/usr/bin:/usr/sbin
cat /var/log/auth.log | grep "Illegal user" | rev | cut -d\ -f 1 | rev | sort | uniq -c | \
( while read num ip; do
if [ $num -gt 9 ]; then
if ! ipfw show | grep -q $ip ; then
echo adding $ip for $num violations
logger -p auth.warn blocking $ip for $num violations
ipfw table 1 add $ip
fi
fi
done
)
Now... the line 'ipfw ...' can be replace with other firewall
statements or it can be a route add -blackhole.
The trick here is that it is unusual for legal users to make many
tries at an ssh with a completely wrong username
감사합니다.
설치법도 같이 적어 주셨으면 더 좋았을 겁니다만, ㅎ
Thank you for your valuable codes.
자료는 저장하자!
저장해서 정리하지 않은 지식은 쓸모가 없다.
댓글 달기