제가 관리하는 서버에서 dos공격이 온다고 합니다
글쓴이: widgie / 작성시간: 월, 2006/11/13 - 9:57오후
안녕하세요
제가 관리를 맡게 된 서버가 있는데 (대학생입니다)
학교 전산실에서
제 서버의 ip에서 dos공격이 발생한다고 하더군요
프로세스 중에 이상한 프로세스가 있어서
죽이고
chkrootkit 돌렸더니
infected가 많이 뜨던데 알고보니 portsentry 때문이더라구요 --;
근데 사용자 디렉토리에서
defacing tool 이란걸 발견했거든요
디렉토리명이 " " 이런거였구요.
그래서 일단 php 업데이트를 했습니다.
근데 궁금한게 있는데
제 서버에서 dos 공격이 나간다는건 어떤 경우인가요?
Forums:
대학이면
대학이면 사설망일텐데, 내부자 소행일 가능성이 꽤 높다고 생각합니다만 뚫렸다면 어차피 답은 재설치입니다.
----
Forensic Computing On Linux
아직 멀었어
음.. 그런데
음.. 그런데 portsentry를 깔더라도, bindshell만 INFECTED 되었다고 나오지 않나요?
중요한 서버가
중요한 서버가 아니면 최신 버전으로 재 설치하세요.
예전에 어느 대학에서 로그인 시도가 있어서 담당자 메일로
확인 메일을 보냈는데 그냥 무시하더라구요.
결국 그 IP대역은 아예 막아버렸습니다.
비정상적으로 트레픽을 많이 내보낸다고 할수 있습니다.
님 서버 SRC -> DST가 하나일수도 여러개일수도 있는 형태인데.
일반적인 사용자에 비하여 비정상적으로 트레픽을 많이 보내는것을 이야기 합니다.
대부분의 DoS 탐지형태는
SRC가 고정이고 DST쪽으로 임의의 시간내에 특정 값이상의 커넥션 시도를 하는것을 일컷습니다.
일반적인 사용자라 함은. 예를 들어 님께서 kldp.org 사이트를 열어두고 아무리 빨리
F5번을 빨리 누른다고 해도 그것보단 훨씬 많이 임의 시간동안 접속요청을 하는것도 DoS의 하나라 할수
있겠습니다. 즉 대략 그냥 접속해서 사용하는 사용자나 몇번정도 F5를 누른다고 해서 그런사람을 공격자라
할수는 없겠지요.이런사람은 일반사용자로 볼수 있겠구요
과도한 접속요청으로 타겟 서버 || 호스트의 수용용량 이상을 유발하여
상대방의 서버가 정지하거나, 이상 동작을 유도하기 위해 DoS 공격을 수행합니다.
가장 대표적인 예는 SYN FLOODING ATTACK이라 하겠습니다. 다른 유형도 많지만
개념잡기에는 좋습니다.
그리고 피해 시스템에 공백 디렉토리로 이것저것 만들었다면,
대략 별로 중요한거 아니라면 다시 미는게 젤 좋겠군요..
chkrootkit도 못잡는거 많으니깐요.
망극.~!
Fly to the SKY~~~~~~
"According to your faith, be it unto you!!"
댓글 달기