주변의 C모님이 서버가 상당수 뚫려서 복구하느라 고생하는 것을
옆에서 보고 있다가, 요새 sshd에 대한 공격이 굉장히 유행한다는
소리를 들었습니다.
그래서, 오픈룩 서버에서도 로그를 검사해 본 결과,
1 2 3 4 5 6 7 8 9 |
lucy(perky):/var/log% <b>(cat auth.log && bzcat auth.log.*) | awk '{print $1" "$2}'|uniq -c|sort -r</b> 3461 Sep 24 2794 Sep 25 2385 Sep 13 1604 Sep 18 1198 Sep 24 936 Sep 13 844 Sep 15 667 Sep 16 |
요새 같은 IP에서 초 단위로 유저를 계속 바꿔가면서 자동으로 공격하는 경우가 많이 생기고 있습니다. 아무래도, 사용자를 계속 바꿔가면서 시도하는 걸로 봐서는, 사용자로 전환이 일어난 이후에 발생하는 버그를 노린 것이거나, 취약한 패스워드를 그냥 찔러 보는 것 같네요. 하여간, 뚫린 분의 말씀으로는, sshd가 honeypot 데몬으로 교체돼버리기 때문에, 사용자가 다음부터 접속하더라도 완전 바보짓을 하게 돼서 결국은 콘솔로 가서 뒤엎고 복구하는 수 밖에 없다고 합니다. 으흐흐..
공격이 하루에 수천건이 들어오니,
sshd 버전 최신 버전인가 꼭 확인하고, 사용자 패스워드 간단한 것 안 쓰는지 보고, 1111, 7777 같은 것 쓰는 사람들 계정은 다 정지시켜
버려서 괜히 고생하지 말도록 합시다~
암호가 간단한 것인지 어떻게 알아요? @_@
흠.. 뭐 이건.. 뚫는다기보다는.. 못뚫어도 거의 DOS공격에 가까운거같네요…-.-;
John the Ripper 같은 것을 쓰면 간단한 것은 다 골라낼 수 있습니다~
방금 다 복구하고 왔습니다.
복구 라기보다는 싹 새로 설치하고 데이타 부어놓고왔죠 -_- 시끄러운 팬 소리나는 idc에서 두밤자고 오니까 조용한게 너무 이상할 지경이고.. 너무 건조한곳에 오래있어서인지 피부가 바짝 말라버렸네요
민감한 오라클때문에 커널을 올리지 못하고있는 서버가 점령당하고 같은 네트웍에 있는 서버들이 차례로 당한것 같습니다. 여러분들도 조심하세요 흑흑