[완료]이거 해킹하려고 찔러보는 건가요?
Sep 16 10:27:25 cor sshd[4977]: Invalid user aptproxy from ::ffff:218.51.179.101
Sep 16 10:27:25 cor sshd[4978]: input_userauth_request: invalid user aptproxy
Sep 16 10:27:27 cor sshd[4977]: Failed password for invalid user aptproxy from ::ffff:218.51.179.101 port 52024 ssh2
Sep 16 10:27:27 cor sshd[4978]: Received disconnect from :218.51.179.101: 11: Bye Bye
Sep 16 10:27:27 cor sshd[4979]: Invalid user desktop from ::ffff:218.51.179.101
Sep 16 10:27:27 cor sshd[4980]: input_userauth_request: invalid user desktop
Sep 16 10:27:30 cor sshd[4979]: Failed password for invalid user desktop from ::ffff:218.51.179.101 port 52834 ssh2
Sep 16 10:27:30 cor sshd[4980]: Received disconnect from :218.51.179.101: 11: Bye Bye
/var/log/secure 에 위와같은 로그가 20분 정도의 분량으로 두 개의 아이피로부터
쌓였는데 해킹 시도인거죠? 아마도 프로그램으로 돌리는거 같은데,,, 어떻게 대응해야 하나요?
서버 돌리면 이런 일이 흔히 있는 일인가요?
네..
네.. 흔합니다..
그래서 요새는 22번 포트 사용 안합니다..
찝찝해도 그냥 무시해도 되고요..
자주 쓰는 아이디로 계속해서 접근할 겁니다.
포트 변경하면 거의 없어집니다.
로그를 모니터링하는
로그를 모니터링하는 스크립트 작성하셔서 특정 아이피로부터 몇번 이상의
접속 시도와 실패가 있으면 해당 아이피를 blacklist에 추가하고
iptable 규칙으로 자동으로 막게 해주는 것도 간단하게 해결할 수 있는 방법입니다. :-)
---------------------------
Smashing Watermelons~!!
Whatever Nevermind~!!
Kim Do-Hyoung Keedi
----
use perl;
Keedi Kim
오늘도 같은 아이피로 접속시도 하던데...
자주 있는 일이라지만 오늘도 같은 아이피로 들어오니 신경쓰이네요.
피곤해님이나 Keedi님 말씀처럼 포트 변경이나 자동스크립을 생각해봐야 겠어요...ㅠㅠ
자동 스크립트로
자동 스크립트로 fail2ban 쓸만합니다. 한번 써보세요.
$Myoungjin_JEON=@@=qw^rekcaH lreP rehtonA tsuJ^;$|++;{$i=$like=pop@@;unshift@@,$i;$~=18-length$i;print"\r[","~"x abs,(scalar reverse$i),"~"x($~-abs),"]"and select$good,$day,$mate,1/$~for 0..$~,-$~+1..-1;redo}
댓글 달기