이거 해킹시도 인가요?
글쓴이: ptmono / 작성시간: 목, 2006/09/14 - 11:14오전
혼자 쓰는 컴퓨터라 평소 보안에 신경 쓰지 않았습니다. 사실 어떻게 보안을 해야 하는지도 알지
못합니다. http://kldp.org/node/73105 글을 읽고 /var/log/secure 파일을 살펴보았습니다.
Sep 13 13:28:57 localhost sshd[13973]: Invalid user philippine from 210.192.102.22 Sep 13 04:28:57 localhost sshd[13974]: input_userauth_request: invalid user philippine Sep 13 13:28:57 localhost sshd[13973]: pam_unix(sshd:auth): check pass; user unknown Sep 13 13:28:57 localhost sshd[13973]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=210.192.102.22 Sep 13 13:28:57 localhost sshd[13973]: pam_succeed_if(sshd:auth): error retrieving information about user philippine Sep 13 04:28:59 localhost sshd[13974]: Failed password for invalid user philippine from 210.192.102.22 port 1921 ssh2 Sep 13 13:28:59 localhost sshd[13973]: Failed password for invalid user philippine from 210.192.102.22 port 1921 ssh2 Sep 13 04:28:59 localhost sshd[13974]: Received disconnect from 210.192.102.22: 11: Bye Bye
같은 메세지들이 많군요. 3시간 정도 이런 메세지가 있었습니다.
1시간 전쯤에도 3분정도 이런 메세지가 로그파일에 있습니다. 12일에도 있구요.
제가 보기엔 user 계정을 얻으려고 무작위로 대입하고 있는것 같습니다.
보안 문제에 좀더 신경을 써야 겠군요.
Forums:
웜등 봇들이
웜등 봇들이 그런접속을 많이 하구
스크립트도 있고
사전 대입식 공격이 상당하게 많습니다.
ssh 포트 바꾸시면 많이 줄어들꺼에요 ^^
----------------------------------------------------------------------
웃는 얼굴 헤죽 헤죽
----------------------------------------------------------------------
웃는 얼굴 헤죽 헤죽
보통 많이 일어나는
보통 많이 일어나는 접근시도 인가 보군요.
사전 대입식이면 ID와 암호를 하나하나 다 대입한다는 이야기 같은데
개인 컴퓨터에서 몇개 없는 계정에 그것이 가능한 일일지...
일반적으로 사용하는 계정의 비밀번호를 단순히 사용하고 있는데
특수문자 하나 정도는 넣어두어야 겠군요.
조금 공부를 하여서 이렇게 연속적으로 로그인을 실패하는 ip에 대해서는 접근 제한을 할 수 있게 하여야 겠군요.
알아야 할게 많군요.
------------------------------------------
FC5, KDE
http://www.linuxquestions.org/
http://www.fedoraforum.org/
http://stanton-finley.net/fedora_core_5_installation_notes.html
------------------------------------------
emacs user
뭐 그냥..
사전 대입식 공격이라면, 사전 찾아서 그거 차례로 대입 합니다. 제가 비밀번호를 apple로 해 놓고 하니 바로 사전에서 걸리더군요. 아주 빠르게.. 물론 John으로 가지고 있는 서버에서 쉐도우 파일을 테스트 해 본 겁니다.
그러다가... 그게 재미가 없어서.(한 때 그런걸 재미로 한 적이 있습니다.) John의 무작위 대입 기능을 사용 해서... 쉐도우 파일을 계속 검색 했는데.. 한 1주일 걸려서 kimsoo 라는 암호화.. hyunhee 라는 암호를 발견 해 내더군요... 괸히 그 계정 쓰는 이들에게 미안하더군요. 제가 다 아는 사람들 이었습니다만... 암호만 보고도 누군지 알 정도였죠 그 사람들은...
아무튼... 정말 사전에 있는 sky 이런 단어로 암호가 되어 있지 않은 이상 글쎄요... 별로 뚤릴 일 없을 겁니다. 근대 이런건 의외로 잘 뚤릴 거 같네요.
dkssudgktpdywjsmsTkrkwldjqtsmswktlrdlqslekT
(안녕하세요저는싸가지없는자식입니닸)
후후훗... 의외로 저런건 잘 뚤리데요.
terran32
이런건 죽어도 안 둘립니다. 제가 한 달을 돌렸는데 안 둘렸습니다.
(물론 지금은 저거 안 씁니다. 한 몇 년 전에 쓰던 암호죠 ㅋㅋㅋ)
흔히 SSH에 많이 나타나는 공격이니 너무 신경 쓰지 마세요. 마음에 걸리시면 위에 어떤 분 말씀처럼 포트라도 바꾸시던지... 그리고 그래도 마음에 걸리시면 root는 접근을 막는 옵션이 있습니다 SSH 설정 파일에... 그걸 on으로 해 주시면 좀 더 안전 하겠죠.
저는 특별한 의미를 담은 약어와 숫자를 섞어서 암호를 만듭니다. 물론 영문은 대소문자가 섞이고 말이죠.
----
Lee Yeosong(이여송 사도요한)
E-Mail: yeosong@gmail.com
MSN: ysnglee2000@hotmail.com
----
웃음... 행복... 평화... (진정한...) 희망... 사랑... 이 세상 모든것이 그렇다면 얼마나 좋을까...(꿈 속의 바램일 뿐인가...)
사람천사
위 덧글들에도
위 덧글들에도 나왔지만, 간단하게 옵션에서 다음 세가지 설정만 해줘도 일단은 안심해도 된다고 생각하고 있습니다. 어떤가요?
1. 포트 변경
2. root 접근 차단(PermitRootLogin)
3. 접속 허용 제한(AllowUsers)
---
jai guru deva om...
----
jai guru deva om...
그렇군요. 포트 변경
그렇군요. 포트 변경 정도 해야겠네요.
shfdkwy!!!!
(놀아죠!!!!)
이런 것도 뚤리려나...
------------------------------------------
FC5, KDE
http://www.linuxquestions.org/
http://www.fedoraforum.org/
http://stanton-finley.net/fedora_core_5_installation_notes.html
------------------------------------------
emacs user
솔직히..
'!', '.', ',', '[', ']', '(', ')', '@' 이런게 들어 가 버리면.. 후후훗!!! 잘 안 뚤릴 겁니다 그나마.. 근대 놀아조만 하면 둘리겠죠... 제가 위에 적은 것도 잘 뚤린다고 ... 제가 적은 거 같네요..
Tkdnwlaktpdy
(싸우지마세요)
xhdtlsdmsTkdqkdgiddlwhgek
(통신은쌍방향이좋다)
뭐 이런 거 다... 한 1일? 아니면 한 12시간 정도.. 크랙으로 돌리면 둘립니다... 물론 SSH로 직접 접속 해서 계속 대입을 하는 것임으로 훨씬 더 뚤리는 시간이 늦어 질 겁니다. 크랙 프로그램은 연속적으로 불러들인 텍스트를 암호화 시켜 놓고 생성된 문자열을 암호화 해서 비교 합니다. 그래서 SSH보단 엄청 빠르죠. 보통 MD5같은 걸로 암호화 되더군요 음... DES를 이전엔 많이 썼던 것으로 알고 있습니다.
hyunhee (고치면 현희)
kimsoo (고치면 김수)
이런 암호가 최소한 3시간 걸렸습니다... 크랙으로 파악 하는데... 저런 암호는 SSH로 하면 한 5배 이상은 더 걸리겠죠 당연히... 아니. 5배도 모자라죠 음.. 내부에서 바로 처리 하는 것과.. 일일히 상대방 서버에서 인증 과정을 거쳐 가며 귾기면 또 연결 하고 이러는 경우 상당한 시간이 소요 될 겁니다. 팃글 모아 태산이라 하니 작은 시간차가 엄청난 시간차가 되겠죠. 암호를 어렵게 하는 것 만으로도, 인증 과정에 딜레이를 주는 것 만으로도... 엄청난 시간을 버실 수가 잇겠고.. 역시 간단하고 제일 좋은 방법은 포트를 이상한 것으로 바꿔 놓는 겁니다 크크크!
----
Lee Yeosong(이여송 사도요한)
E-Mail: yeosong@gmail.com
MSN: ysnglee2000@hotmail.com
----
웃음... 행복... 평화... (진정한...) 희망... 사랑... 이 세상 모든것이 그렇다면 얼마나 좋을까...(꿈 속의 바램일 뿐인가...)
사람천사
암호를 세벌식
암호를 세벌식 한글로 치면 중간에 숫자도 종종 들어가고 좋습니다.;---------------
Emerging the World!
Emerging the World!
년도+ 서버이름 +
년도+ 서버이름 + 날짜 로 합니다.
06svr-file0915
=> )^imsvr-file)(!%
숫자만 쉬프트로 합니다.
저도 보니까 엄청난
저도 보니까 엄청난 해킹흔적(?)들이 보여서 포트번호 바꾸었습니다.
주로 중국이나 동유럽쪽에서 많이 들어오려는 듯하네요.
EMAIL : sudous@gmail.com
MSN : sudous@hanmail.net
NATEON : sudous@nate.com
BLOG : http://sudous.egloos.com