22015,

1/1101

W.H.

http://blog.naver.com/aaaa875

Failed.txt (88.0 KB), Download : 118 [오른쪽 버튼 눌러 다운 받기]

failure.txt (103.7 KB), Download : 64 [오른쪽 버튼 눌러 다운 받기]

진짜.. 해커들 완전 무섭군요.. 로그파일 첨부

http://www.hackerschool.org/HS_Boards/zboard.php?AllArticle=true&no=21784 [복사]

뭐 아시는 분들도 계시겟지만

2011.08.31

바로 이날 서버를 처음으로 열였습니다.

호스팅 업체에 가상서버로 받은거라 제가 root 권한을 가지고 있고

서버는 24시간 켜져있죠.

전 그냥

아이피도, DNS도 아무도 모르니 공격 않들어오겟지...

하고 그냥 냅뒀습니다.

그런데..

그런데..

오늘 심심하던차 로그를 좀 살펴보앗습니다.

그러다 완전 깜짝 놀랐다죠

별별 이상한데서 root외 각종 계정들로 로그인 시도가 들어온겁니다.

아래는 고놈들

r200-40-251-146.ae-static.anteldata.net.uy ->우르과이
219.134.189.145 -> 중국
plahpoy1.plahpoy.com -> 미국
r083.red.fastwebserver.de -> 독일
server-84-33-192-45.static.serverclienti.com -> 이탈리아
t265.greatnet.de -> 독일
moscovita.curimbaba.com.br -> 브라질
mx.savarauto.com.br -> 브라질
sjbatista.seculoxxx.com.br -> 브라질
211008134108.cidr.odn.ne.jp -> 일본
rcsa.k12.wi.us -> 미국
60.28.199.166 -> 중국
static-82-85-95-20.clienti.tiscali.it -> 이탈리아
maxkont.datatrans.hu -> 헝가리
mail.clikka.com ->나이지리아

...

이건 741 kb 에서 나온것중 일부만 쓴겁니다.

대충 일부 보니 시간당 15번의 root 로그인 시도가 있네요

호스팅 업체에서 fail2ban 을 깔아놓지 않았더라면..

ㅎㄷㄷㄷㄷ

아래 로그는 /var/log/secure 파일에서

Failed 와 failure 란 문자열이 포함된 열들을 뽑아논겁니다.

한번 보실분은 보시길..

참고로 메모장으로 열면 엔터가 않되있을텐데

한글로 열면 엔터 제대로 되어있습니다.

Hit : 9757 Date : 2011/09/05 12:51


파란바다	예전에 아는 형한테 물어본게 생각나네요. 외부에서 접속할 때는 일반적인 telnet 포트인 23번 포트로 접속이 안되냐고 물어보니까, 23번 포트가 열려있으면 텔넷을 운영하고 있는 경우가 상당히 많고, 비밀번호로 많이 쓰는 값을 대입하는 일이 발생하고, 생각보다 그걸로 인해서 털리는 일이 없지는 않다고 들었어요. 따라서 학교나 관공서같은 곳에서는 23번포트를 막아둔다 라고 들은 적이 있어요. 아무도 않쓸줄 알았건만 -_-;; 진짜 였네요.	2011/09/05
W.H.	제가 본 로그의 수준은 '일이 없지는 않다' 수준이 아니라 무조건 일어나는것 같네요ㅠㅠㅠ 서버 만든지 2일부터 공격이 들어왔거든요... 그땐 아무한테도 서버 아이피 않알려줬는데...	2011/09/05
메버리키	무섭다 무섭다 무섭다 무섭다 ㅠㅠ fail2ban 안깔려있었으면 점령당할뻔했군 ㅠㅠ 생각해보니 ftz는 이런일 없을까요?? guest guest 인데,, root 비밀번호가 완전 어려울려나?/ ㅋㅋ	2011/09/05
phpmyadmin	브루트포싱이 대부분일려나 저희학교는 무선 AP만 21 22 23번 막아놨어요.. 가가도 안되는거보니까 상위포트도 막아놓은듯..	2011/09/05
wva11cdae	에효 저도 서버 하나 열려고 했었는데 큰일 날 뻔 했군요. 좋은 정보 네요;;;;	2011/09/05
blueh4g	제가 서버 운용할때의 몇가지 팁을 알려드리자면a telnet 서비스는 운용 안하고, ssh도 다른 포트로 돌려놓고, root 계정은 ssh로 접근 불가, 별도의 계정(쉽게 유추할수 없는.. 예를들면 제 ssh용 계정은 blueh4g 가 아니죠 //ㅅ/) 하나만 열어둔 뒤에, 서버에 접속할일 생기면 별도의 계정으로 접속하고 su 등으로 타 계정 이용. 아얘 타겟으로 잡고 서버를 털려고 하지 않는 이상은, 이정도면 광대역 브루트포싱은 어지간해선 잘 안들어오더라구요a (물론 호스팅서버일 경우엔 이런 설정 마음대로 못바꾸겠지만.. ㅠ_ㅠ)	2011/09/06
blueh4g	추가로 iptables 랑 sulinux도 80포트(웹), XX포트(ssh), 8084포트(리눅스 내부의 vm 웹) 만 허용.. 으로 셋팅하는것 정도이려나요a	2011/09/06
W.H.	blueh4g// 조언 감사합니다. -- __ 일단 루트계정부터 막아놔야겟네요	2011/09/07