현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

이거 해킹당한 겁니까?

hanpedro의 이미지
글쓴이: hanpedro / 작성시간: 화, 2007/01/23 - 4:28오후

원격서버 fc3에 한글putty로 접속하니 아래 그림처럼나오네요?

그리고, 아래와 같은 내용이 /var/log의 secure.1,2,3,4파일에 가득하네요.....

Jan 14 07:28:46 www sshd[8003]: Did not receive identification string from ::ffff:202.151.170.163
Jan 14 07:39:34 www sshd[8022]: Invalid user oracle from ::ffff:202.151.170.163
Jan 14 07:39:35 www sshd[8022]: reverse mapping checking getaddrinfo for ci170-163.netnam.vn failed - POSSIBLE BREAKIN ATTEMPT!
Jan 14 07:39:37 www sshd[8022]: Failed password for invalid user oracle from ::ffff:202.151.170.163 port 36392 ssh2
Jan 14 07:39:41 www sshd[8025]: Invalid user www-data from ::ffff:202.151.170.163
Jan 14 07:39:41 www sshd[8025]: reverse mapping checking getaddrinfo for ci170-163.netnam.vn failed - POSSIBLE BREAKIN ATTEMPT!
Jan 14 07:39:43 www sshd[8025]: Failed password for invalid user www-data from ::ffff:202.151.170.163 port 37327 ssh2
Jan 14 07:39:46 www sshd[8028]: Invalid user httpd from ::ffff:202.151.170.163
Jan 14 07:39:46 www sshd[8028]: reverse mapping checking getaddrinfo for ci170-163.netnam.vn failed - POSSIBLE BREAKIN ATTEMPT!
Jan 14 07:39:49 www sshd[8028]: Failed password for invalid user httpd from ::ffff:202.151.170.163 port 37842 ssh2
Jan 14 07:39:54 www sshd[8031]: reverse mapping checking getaddrinfo for ci170-163.netnam.vn failed - POSSIBLE BREAKIN ATTEMPT!
Jan 14 07:39:56 www sshd[8031]: Failed password for netdump from ::ffff:202.151.170.163 port 38341 ssh2
Jan 14 07:39:59 www sshd[8033]: Invalid user cyrus from ::ffff:202.151.170.163
Jan 14 07:39:59 www sshd[8033]: reverse mapping checking getaddrinfo for ci170-163.netnam.vn failed - POSSIBLE BREAKIN ATTEMPT!
Jan 14 07:40:02 www sshd[8033]: Failed password for invalid user cyrus from ::ffff:202.151.170.163 port 39290 ssh2
Jan 14 07:40:04 www sshd[8039]: Invalid user amanda from ::ffff:202.151.170.163
Jan 14 07:40:04 www sshd[8039]: reverse mapping checking getaddrinfo for ci170-163.netnam.vn failed - POSSIBLE BREAKIN ATTEMPT!

단순히 iptable에 차단만 거어도 될까요?

그리고, 서버에 무슨 짓을 했는지 알 수 있나요?

File attachments: 
첨부파일 크기
Image icon capture7.1.23-1.JPG157.78 KB
Forums: 
설치 및 활용 QnA
mnnclub의 이미지

글쓴이: mnnclub / 작성시간: 화, 2007/01/23 - 8:58오후

리눅스깔고 22번포트에 ssh열어두면 항상 생기는 로그입니다.

물론 그냥생기는건아니고 스크립트나 프로그램으로 접속시도를 무한적으로 계속했겠습니다.

Failed password 나 실패메시지 말고 접속 성공메시지는 없는지 확인해보시구요..ㅎㅎ

간단하게 ssh포트만 바꾸셔도 접속시도는 많이 줄어들것입니다. 접속시도만요..ㅋ

hanpedro의 이미지

글쓴이: hanpedro / 작성시간: 화, 2007/01/23 - 9:27오후

3년간 ip를 바꿔가면서 시도했군요.....
실력이 대단하네요.....

ip도 바뀌고, revers mapping ip도 바뀌고....

머리 아프네요....

user로보니 이상한 사람은 없고,
서비스를 전부 재시작하니 웹드은 이상이 없는데....

자료는 저장하자!
저장해서 정리하지 않은 지식은 쓸모가 없다.

Stand Alone Complex의 이미지

글쓴이: Stand Alone Complex / 작성시간: 목, 2007/01/25 - 7:56오전

저런 류의 로그를 남기는건 자동화된 ssh 공격툴인데 주로 공격 대상이 랜덤이라고 보면 됩니다.
그러므로 3년동안 같은 사람이 ssh 공격툴로 공격했을 가능성은 매우 희박하므로 그부분은 안심하셔도 됩니다.

-

커널 옵션 한글화 프로젝트 - http://option.kernel.pe.kr

RET ;My life :P

RET ;My life :P

eseo의 이미지

글쓴이: eseo / 작성시간: 화, 2007/01/23 - 10:36오후

ssh 포트를 바꾸어 주니 거의 없어지더라구요.
이와는 별도로 fail2ban 이라는 프로그램을 설치해도 좋은거 같습니다.
일정이상의 접속시도가 틀리면, 일정시간동안 해당 아이피는 차단시켜줍니다.(임의로 설정가능)

---
배려하는 마음을 갖자.

---
배려하는 마음을 갖자.

Stand Alone Complex의 이미지

글쓴이: Stand Alone Complex / 작성시간: 목, 2007/01/25 - 9:38오전

일단 공격 시도 자체가 있었으므로 로그를 다시 한번 살펴 보시어 비정상적인 로그인 기록이 있는지 확인하신뒤 chkrootkit과 rkhunter를 한번 돌려보시길 추천해드립니다.

-

커널 옵션 한글화 프로젝트 - http://option.kernel.pe.kr

RET ;My life :P

RET ;My life :P

hanpedro의 이미지

글쓴이: hanpedro / 작성시간: 목, 2007/01/25 - 11:30오전

fail2ban, chkrootkit과 rkhunter에 대한 지도에 감사드립니다.

자료는 저장하자!
저장해서 정리하지 않은 지식은 쓸모가 없다.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.