이거 해킹 당한겁니까?
글쓴이: yuni / 작성시간: 토, 2007/02/03 - 3:58오전
놋북을 쓰고 있는데 이상하게 하드가 심하게 돌더군요. 하는 일도 없는데 말입니다. 즉시 top으로 보니 nobdoy라는 사람이 find로 뭔가를 찾고 있더군요. 셧다운 할려고 su로 root계정으로 바꿨더니 sed 그리고 sort 이렇게 차례로 바뀌면서 뭔가 일을 하네요. netstat로 보니 뭔가 딱 두개 걸리던데, 하나는 제가 아는 내용이고 하나는 매우 수상쩍은 것이었습니다. 일단 셧다운하고, 라우터를 하나 앞에 붙이고는 방화벽을 설정하고 ssh 서버는 내렸습니다.
찝찝해서 /var/ 밑에 있는 로그파일들도 찬찬히 살펴 보았지만, 저의 일천한 실력으로는 알길이 없네요. 별로 특이한 점이 보이지는 않습니다.
ssh 서버를 설정한 것이 화근인 모양입니다.
[질문은}
1. sshd를 부팅시 시작 안하게 할 수는 없을까요? 지우지는 말고요. ssh 클라이언트는 여전히 필요하거든요.
2. 그리고 누가 왔다 가긴 한건가요? 아니면 제가 몰라서 공연히 수선을 떨고 있는 것일까요?
Forums:
네 공연한 수선입니다
cron과 updatedb 등으로 검색해보세요.
우선
/var/log/messages 로 접속로그를 확인하세요.
==
아 씨끄러 씨끄러~ 조용해!!
레드햇 9 이하 사용금지!
1. sshd와 ssh
1. sshd와 ssh 클라이언트는 관계가 없지 않나요? sshd를 띄우지 않는것은 배포판 마다 틀리니까 배포판별로 확이해봐야 할 것 같습니다. 확실한건 어렵지 않다는 거죠. ^^
2. 이상한 프로세스가 떠 있을땐
재빨리 ps -ef>~/ps.log 로 ps정보를 저장하셔서 프로세스 출처를 확인해 보시고
ydhoney님께서 말씀하신것처럼 /var/log/messages, last 등을 확인해보세요
3. 저도 kz님처럼 updatedb를 의심했는데 제 updatedb를 돌려보니 스크립트가 아니라서 find나 sed 등이 뜨지 않더군요.
흐흠.
흐흠. 로케이터 뜨면 find, sed, sort 같은거 뜨지 않던가요... updatedb는 모르겠급니다만...
그리고 logwatch돌 때도 find, sort, sed뜨던데요... 뭐 perl도 뜨던데 흐흠. 모르겠습니다.
----
Lee Yeosong(이여송 사도요한)
E-Mail: yeosong@gmail.com
MSN: ysnglee2000@hotmail.com
----
웃음... 행복... 평화... (진정한...) 희망... 사랑... 이 세상 모든것이 그렇다면 얼마나 좋을까...(꿈 속의 바램일 뿐인가...)
사람천사
댓글 달기