얼마전부터 서버1대에서 문제가생겼습니다.

두리안   
   조회 7887   추천 0    

얼마전부터 운용하는 개인 웹서버중 한대가 문제가생겼습니다.

 

top에서 ps 프로세스가 계속 100%로 떠있습니다.

 

프로세스를 죽여도 바로 다시 100% 로 프로세스가 부하가걸리네요

 

 

그래서 netstat -an 으로 확인해보니

 

tcp        0      1 112.221.195.196:60504          205.113.119.6:25            SYN_SENT   

tcp        0      1 112.221.195.196:48734          205.113.119.84:25           SYN_SENT   

tcp        0      1 112.221.195.196:53315          205.113.119.59:25           SYN_SENT   

tcp        0      1 112.221.195.196:32820          205.113.118.109:25          SYN_SENT   

tcp        0      1 112.221.195.196:36461          205.113.118.99:25           SYN_SENT   

tcp        0      1 112.221.195.196:55504          205.113.120.59:25           SYN_SENT   

tcp        0      1 112.221.195.196:33263          205.113.118.108:25          SYN_SENT   

tcp        0      1 112.221.195.196:44855          205.113.120.78:25           SYN_SENT   

tcp        0      1 112.221.195.196:37162          205.113.118.126:25          SYN_SENT   

tcp        0      1 112.221.195.196:48979          205.113.119.81:25           SYN_SENT   

tcp        0      1 112.221.195.196:47051          205.113.119.89:25           SYN_SENT   

tcp        0      1 112.221.195.196:33805          205.113.119.107:25          SYN_SENT   

tcp        0      1 112.221.195.196:59251          205.113.119.8:25            SYN_SENT   

tcp        0      1 112.221.195.196:37286          205.113.118.127:25          SYN_SENT   

tcp        0      1 112.221.195.196:54406          205.113.119.52:25           SYN_SENT   

tcp        0      1 112.221.195.196:46038          205.113.119.83:25           SYN_SENT   

tcp        0      1 112.221.195.196:53543          205.113.120.63:25           SYN_SENT   

tcp        0      1 112.221.195.196:51526          205.113.119.42:25           SYN_SENT   

tcp        0      1 112.221.195.196:60009          205.113.120.6:25            SYN_SENT   

tcp        0      1 112.221.195.196:35950          205.113.118.110:25          SYN_SENT   

tcp        0      1 112.221.195.196:33337          205.113.119.102:25          SYN_SENT   

tcp        0      1 112.221.195.196:36921          205.113.118.116:25          SYN_SENT   

tcp        0      1 112.221.195.196:50749          205.113.120.47:25           SYN_SENT   

tcp        0      1 112.221.195.196:59055          205.113.119.1:25            SYN_SENT   

tcp        0      1 112.221.195.196:51989          205.113.120.60:25           SYN_SENT   

tcp        0      1 112.221.195.196:49383          205.113.119.57:25           SYN_SENT   

tcp        0      1 112.221.195.196:45586          205.113.119.72:25           SYN_SENT   

tcp        0      1 112.221.195.196:33042          205.113.118.122:25          SYN_SENT   

tcp        0      1 112.221.195.196:35442          205.113.118.113:25          SYN_SENT   

tcp        0      1 112.221.195.196:47630          205.113.119.65:25           SYN_SENT   

tcp        0      1 112.221.195.196:50143          205.113.119.63:25           SYN_SENT   

tcp        0      1 112.221.195.196:33477          205.113.119.127:25          SYN_SENT   

tcp        0      1 112.221.195.196:46004          205.113.120.66:25           SYN_SENT   

tcp        0      1 112.221.195.196:54021          205.113.120.35:25           SYN_SENT   

tcp        0      1 112.221.195.196:48317          205.113.119.67:25           SYN_SENT   

tcp        0      1 112.221.195.196:44839          205.113.120.80:25           SYN_SENT   

tcp        0      1 112.221.195.196:39024          205.113.118.105:25          SYN_SENT   

tcp        0      1 112.221.195.196:51906          205.113.120.52:25           SYN_SENT   

tcp        0      1 112.221.195.196:60615          205.113.120.18:25           SYN_SENT   

tcp        0      1 112.221.195.196:39513          205.113.119.104:25          SYN_SENT   

tcp        0      1 112.221.195.196:59027          205.113.119.20:25           SYN_SENT   

tcp        0      1 112.221.195.196:51583          205.113.119.58:25           SYN_SENT   

tcp        0      1 112.221.195.196:53418          205.113.119.35:25           SYN_SENT   

tcp        0      1 112.221.195.196:40364          205.113.119.110:25          SYN_SENT   

tcp        0      1 112.221.195.196:44730          205.113.119.93:25           SYN_SENT   

tcp        0      1 112.221.195.196:47342          205.113.119.76:25           SYN_SENT   

tcp        0      1 112.221.195.196:50921          205.113.119.50:25           SYN_SENT   

tcp        0      1 112.221.195.196:50509          205.113.119.48:25           SYN_SENT   

tcp        0      1 112.221.195.196:38093          205.113.119.97:25           SYN_SENT   

tcp        0      1 112.221.195.196:50452          205.113.119.51:25           SYN_SENT   

tcp        0      1 112.221.195.196:43905          205.113.120.82:25           SYN_SENT   

tcp        0      1 112.221.195.196:37026          205.113.119.103:25          SYN_SENT   

tcp        0      1 112.221.195.196:55737          205.113.119.46:25           SYN_SENT

 

 

이 계속 뜹니다. 서버를 재시작해도 205.113 이부분만 아이피가 바뀐상태로

 

새로 뜨고있습니다. 25번포트는 메일포트인데 iptable 상으로는 차단되어있구요...

 

센드메일이 구동되어있지만 쓰지는않습니다. 어느날부터 이러는데 구글링을해봐도 도저히 답이안나와서

 

2cpu에 올리게되었습니다..

 

센토스5.7 기반이고 웹서버입니다.. 당췌 왜이러는걸까요..
짧은글 일수록 신중하게.
김제연 2013-01
SYN_FLOODING 공격 당하고 계시는거 같네요.. 어디 경쟁? 하는 그런 업종이신가요 .. 다른곳에서 의도적으로 공격 할수도 있어보이네요..
     
우형재 2013-01
저도 그렇게 보이기는한데 경쟁할만한건 없는데 이거참..
저 서버는 회사지인들이 그냥 블로그들 40개정도 있는 서버라..
골만아프네요...싹 밀고 다시셋업해야할려나 싶기도하구요...
김제연 2013-01
밀어서 해결 되는게 아닌것 같습니다... 중간에 공유기나 방화벽이 없이 그냥 바로 웹서버이신가봐요?

요즘은 공유기에서도 저 공격을 막아주는게 기본으로 들어있곤 하거든요 ...중간에 .. 공유기 같은걸로 대처 하시거나 syn-flood 로 검색하셔서 조치 방법을 해보세요..
     
우형재 2013-01
맞습니다. 공유기없이 바로 연결되어있습니다.
한번 연결해봐야겠네요.. iptime  t3008 하나 돌아다니는게 있어서..
팁 고맙습니다!
권동우 2013-01
공격을 당하고 있는게 아니라, 오히려 외부로 공격을 시도하고 있는 것 같습니다.
지금 운영하고 계시는 서버에서 205.113 대역대의 25번 포트로 네트워크 스캐닝을 하고 있습니다. (TCP handshaking을 이용한 스캐닝)
25번 포트를 스캐닝하고 있는 것으로 봐서는 205.113 대역대의 호스트 중에서 sendmail을 운영하고 있는 서버를 찾은 다음, relay를 이용해 대량의 스팸 메일을 발송하거나 sendmail 취약점 공격을 하려는 것 같습니다.
한마디로 지금 운영하고 계시는 서버에 악성 스크립트 혹은 바이너리가 실행되고 있다는 이야기입니다.
말씀하신 것처럼 시스템을 완전히 새로 설치하시는 것이 가장 좋은 방법이고, 아니면 해당 프로세스를 찾아서 강제 종료하고 시스템 시작 시에 자동으로 시작되도록 추가된 부분을 삭제하셔야 합니다.
빨리 조치를 취하셔야 할 것 같습니다.
     
우형재 2013-01
저도 그런부분이 좀 이상한거같긴합니다.
어떤 땁새가 그런걸 설치해놨는지... 스킬이낮아서
그걸 찾을방법이없네요...새로설치하는수밖에...없을거같기도하네요
후유.. 좋은방법있으면 팁좀부탁드리겠습니다
감사합니다.
김제연 2013-01
무식이 탄로났네요.. 하나 배워갑니다
김윤술 2013-01
스크립트 데몬이 걸려 있을거에요. Windows 에서도 마찬가지로 백그라운드로 메일서버 아이피 리스트랑 메일 계정을 참조해서 원문을 무작위로 발송하는 스팸 좀비가 된 상태입니다.
일차적으로 해킹 당한거구요 2차는 앞단에 방화벽 없으면 거의 쉽게 털리는데...
회원K 2013-01
sendmail을 안쓰면 재설치 보다 삭제하시는 것이 좋습니다.
생각외로 sendmail로 스팸 발송하는 악당들이 많습니다.
ssh 포트 변경하시고, pc에는 강한 보안프로그램 설치하시구요.
양대감 2013-01
웹 취약점을 이용하여 업로드된 웹셀이 있거나,
또는 시스템 로그인(ssh등)이 가능한 일반 계정이 털렸을 겁니다.

1.웹 로그 상 악성코드 업로드 이력 확인
2./var/log/secure 등 시스템 접근 이력(실패/성공) 확인
3.lsof등으로 smtp,pop3 brute force 툴 설치 위치 확인 및 프로세스 종료

등으로 침해 경로를 파악해 보세요.
악성툴로는 scanbun이라고 잘 쓰입니다.
일반계정 털린 후 쓰기가 가능한 /tmp/scanbun 위치 확인해보시고요.
해당 경로내 실행 스크립트 및 공격IP리스트 vuln.txt, session.php 등 있으면 확실합니다.
지우세요.

여기까지 진행되셨으면 침해된 경로를 보완하여 시스템 보안을 강화하십시요.
우형재 2013-01
답변들 감사드립니다. 1차적으로 공유기 앞단에 붙이고 재부팅하니까
sys_sent 관련문제는 현시간까지 발생하지않고 ps도 정상적이네요
말씀하신데로 보안신경써서 강화하도록 하겠습니다.
역시 2cpu..명불허전 부럽습니다. 많이배워갑니다.
Curixsoft 2013-01
안 쓰는 서비스는 모조리 지워 놓고.
권한 관련 유틸과 주요 쉘은 fake 유틸과 쉘로 대체해 놓으시고
관리자만 아는 이름의 유틸로 바꿔 놓으세요.

fake 트랩 잘 쓰면 역공(?)도 가능하지 않을까요? ^^
로그인 하시면 댓글을 남길 수 있습니다


QnA
쓰기
제목Page 1171/5710
2015-12   1690708   백메가
2014-05   5156364   정은준1
2014-04   7899   조명수
2016-04   7898   petabyte
2005-02   7898   김건우
2004-06   7898   서중성
2019-10   7898   탁영길
2013-08   7898   테러리스트
2010-01   7898   푸릉이
2004-04   7898   천기석
2004-08   7898   강광선
2010-01   7897   방o효o문
2014-01   7897   김효수
2020-08   7897   koreaunivlab
2010-10   7897   cb400
2009-04   7896   선철
2011-02   7896   김태성
2004-07   7896   한기하
2004-04   7896   송영오
2016-07   7895   태성기김
2004-05   7895   김기범
2004-04   7895   이학현
목록
쓰기