리룩스 서버 중 sshd가 특정아이피에서 2초간격으로 계속 공격받고 있을 때 어떻게 해야하나요?
리룩스 서버 중 sshd가 특정아이피에서 2초간격으로 계속 공격받고 있을 때 어떻게 해야하나요? 리룩스 초보자라서 잘 모르겠습니다.
openSSH가 과연 안전하나요? 지속적으로 프로그램을 사용해서 들어오려고 합니다. log메세지를 보니까 다음과 같습니다.
# cat /var/log/messages
중략
Jun 1 15:47:47 tmp sshd(pam_unix)[16532]: check pass; user unknown
Jun 1 15:47:47 tmp sshd(pam_unix)[16532]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=209.152.167.147
Jun 1 15:47:51 tmp sshd(pam_unix)[16534]: check pass; user unknown
Jun 1 15:47:51 tmp sshd(pam_unix)[16534]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=209.152.167.147
Jun 1 15:47:55 tmp sshd(pam_unix)[16536]: check pass; user unknown
Jun 1 15:47:55 tmp sshd(pam_unix)[16536]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=209.152.167.147
2시간 내내 수초 간격으로 들어오려고 합니다. 어떻게 해야 하나요? 라우터에 아이피 블락킹하는 옵션이 있었던 것 같기도 한데... 지금 리룩스박스가 집에 있어서 어떻게 해야 하나요? 아이피 추적프로그램으로 보니까 뉴저지에서 오네요.
보안에 신경써야 할 것 같습니다. 몇일전에도 그냥 클래쉬되어서 다시 프로그램을 깔았습니다. 어제는 학교에서 무료제공되는 리룩스용 바이러스 프로그램도 깔았습니다. 이것도 도움이 될까요?
감사합니다.
제 두개중 하나(da)의 유저네임을 찾았네요. 그런데 접근에 성공했는지 아니면 그냥 나갔는지 궁금하네요?
log메세지는 다음과 같습니다.
Jun 1 15:53:50 tmp sshd(pam_unix)[16781]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=209.152.167.147 user=da
Jun 1 15:53:56 tmp sshd(pam_unix)[16783]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=209.152.167.147 user=da
Jun 1 15:53:59 tmp sshd(pam_unix)[16785]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=209.152.167.147 user=da
Jun 1 15:55:01 tmp crond(pam_unix)[16789]: session opened for user root by (uid=0)
Jun 1 15:55:01 tmp crond(pam_unix)[16789]: session closed for user root
Jun 1 16:00:01 tmp crond(pam_unix)[16793]: session opened for user root by (uid=0)
Jun 1 16:00:01 tmp crond(pam_unix)[16795]: session opened for user root by (uid=0)
Jun 1 16:00:02 tmp crond(pam_unix)[16795]: session closed for user root
Jun 1 16:00:02 tmp crond(pam_unix)[16793]: session closed for user root
da 의 유저네임은 아직도 로그인으로 되어있습니다. #userdel da 를 쓰면 아직 로그온 중이라는 합니다. 이 사용자를 어떻게 지울 수 있죠? 그리고 특정아이피로만 로그인 할 수 있게 하는 방법이나 설정은 어떤 것이 있습니까? 우선 이 방법도 해봐야겠습니다.
[tto@tmp ~]$ ps -eo pid,user,cmd,args | grep da
17304 tto grep da grep da
[tto@tmp ~]$ ps -eo pid,user,cmd,args | grep tto
3746 tto /usr/bin/ssh-age /usr/bin/ssh-agent -s
5368 tto /usr/bin/ssh-age /usr/bin/ssh-agent -s
5790 tto /usr/bin/ssh-age /usr/bin/ssh-agent -s
7945 tto /usr/bin/ssh-age /usr/bin/ssh-agent -s
17266 root sshd: tto [priv] sshd: tto [priv]
17273 tto sshd: tto@pts/1 sshd: tto@pts/1
17274 tto -bash -bash
17305 tto ps -eo pid,user, ps -eo pid,user,cmd,args
17306 tto grep tto grep tto
그리고 아울러 유저 da를 지우기 위해 다음을 실행했습니다. 그리고 그전에 chattr +i /etc/passwd를 지정하고 su - 명령어도 tto만 사용할 수 있게 지정해 놓았습니다.
[root@tmp ~]# userdel da
userdel: unable to open password file
그런데 다음과 같은 메세지가 뜹니다. 이상하네요. 다시 리룩스 설치하고 가동한지 2일만에 이렇게 되네요....쩝
-i 옵션을 줘서 설정해제하고 해도 똑같은 메세지가 뜹니다.
위의 상황이 크랙킹이 된 건가요? 아니면 그냥 포기하고 갔는지 경험이 없이서 정확히 알 수가 없네요.
다시 비밀번호 바꾸고 다시 리룩스 인스톨해야 할지 궁금합니다.
감사합니다.
authentication failure;
authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=209.152.167.147 user=da
여기 페일러 보이시죠? 당근 실패했다는것입니다...
그리고 da라는 계정이 있긴 한건가요? 패스워드 파일열어보시면 da라는 유저가 있는지 알 수 있겠죠...
그리고 chattr설정을 해놓으셨다면 passwd파일변경이 불가하므로 당연히 삭제가 안되겠죠?
내 마음속의 악마가 자꾸만 나를 부추겨.
늘 해왔던 것에 만족하지 말고 뭔가 불가능해 보이는 것을 하라고 말야.
내 마음속의 악마가 자꾸만 나를 부추겨.
늘 해왔던 것에 만족하지 말고 뭔가 불가능해 보이는 것을 하라고 말야.
뚫으려고 시도를 하는것 일 수도..
아직 뚫리지 않았을것 같네요. failure라고 나오는것 보니..
일단 ssh port를 바꾸세요.
그리고 chattr +i 하시기전에 da라는 유저가 패스워드 파일에 있다면 유저부터 삭제하시고
chattr +i로 바꾸세요.
+i로 설정된 상태에서는 유저추가도, 삭제도 되지 않습니다.
lsattr 명령으로 먼저 확인해보세요.
참, 로그파일을 뒤져보시고 확실히 뚫렸는지도 확인하셔야 할듯.
댓글 달기