얼마전부터 운용하는 개인 웹서버중 한대가 문제가생겼습니다.
top에서 ps 프로세스가 계속 100%로 떠있습니다.
프로세스를 죽여도 바로 다시 100% 로 프로세스가 부하가걸리네요
그래서 netstat -an 으로 확인해보니
tcp 0 1 112.221.195.196:60504 205.113.119.6:25 SYN_SENT
tcp 0 1 112.221.195.196:48734 205.113.119.84:25 SYN_SENT
tcp 0 1 112.221.195.196:53315 205.113.119.59:25 SYN_SENT
tcp 0 1 112.221.195.196:32820 205.113.118.109:25 SYN_SENT
tcp 0 1 112.221.195.196:36461 205.113.118.99:25 SYN_SENT
tcp 0 1 112.221.195.196:55504 205.113.120.59:25 SYN_SENT
tcp 0 1 112.221.195.196:33263 205.113.118.108:25 SYN_SENT
tcp 0 1 112.221.195.196:44855 205.113.120.78:25 SYN_SENT
tcp 0 1 112.221.195.196:37162 205.113.118.126:25 SYN_SENT
tcp 0 1 112.221.195.196:48979 205.113.119.81:25 SYN_SENT
tcp 0 1 112.221.195.196:47051 205.113.119.89:25 SYN_SENT
tcp 0 1 112.221.195.196:33805 205.113.119.107:25 SYN_SENT
tcp 0 1 112.221.195.196:59251 205.113.119.8:25 SYN_SENT
tcp 0 1 112.221.195.196:37286 205.113.118.127:25 SYN_SENT
tcp 0 1 112.221.195.196:54406 205.113.119.52:25 SYN_SENT
tcp 0 1 112.221.195.196:46038 205.113.119.83:25 SYN_SENT
tcp 0 1 112.221.195.196:53543 205.113.120.63:25 SYN_SENT
tcp 0 1 112.221.195.196:51526 205.113.119.42:25 SYN_SENT
tcp 0 1 112.221.195.196:60009 205.113.120.6:25 SYN_SENT
tcp 0 1 112.221.195.196:35950 205.113.118.110:25 SYN_SENT
tcp 0 1 112.221.195.196:33337 205.113.119.102:25 SYN_SENT
tcp 0 1 112.221.195.196:36921 205.113.118.116:25 SYN_SENT
tcp 0 1 112.221.195.196:50749 205.113.120.47:25 SYN_SENT
tcp 0 1 112.221.195.196:59055 205.113.119.1:25 SYN_SENT
tcp 0 1 112.221.195.196:51989 205.113.120.60:25 SYN_SENT
tcp 0 1 112.221.195.196:49383 205.113.119.57:25 SYN_SENT
tcp 0 1 112.221.195.196:45586 205.113.119.72:25 SYN_SENT
tcp 0 1 112.221.195.196:33042 205.113.118.122:25 SYN_SENT
tcp 0 1 112.221.195.196:35442 205.113.118.113:25 SYN_SENT
tcp 0 1 112.221.195.196:47630 205.113.119.65:25 SYN_SENT
tcp 0 1 112.221.195.196:50143 205.113.119.63:25 SYN_SENT
tcp 0 1 112.221.195.196:33477 205.113.119.127:25 SYN_SENT
tcp 0 1 112.221.195.196:46004 205.113.120.66:25 SYN_SENT
tcp 0 1 112.221.195.196:54021 205.113.120.35:25 SYN_SENT
tcp 0 1 112.221.195.196:48317 205.113.119.67:25 SYN_SENT
tcp 0 1 112.221.195.196:44839 205.113.120.80:25 SYN_SENT
tcp 0 1 112.221.195.196:39024 205.113.118.105:25 SYN_SENT
tcp 0 1 112.221.195.196:51906 205.113.120.52:25 SYN_SENT
tcp 0 1 112.221.195.196:60615 205.113.120.18:25 SYN_SENT
tcp 0 1 112.221.195.196:39513 205.113.119.104:25 SYN_SENT
tcp 0 1 112.221.195.196:59027 205.113.119.20:25 SYN_SENT
tcp 0 1 112.221.195.196:51583 205.113.119.58:25 SYN_SENT
tcp 0 1 112.221.195.196:53418 205.113.119.35:25 SYN_SENT
tcp 0 1 112.221.195.196:40364 205.113.119.110:25 SYN_SENT
tcp 0 1 112.221.195.196:44730 205.113.119.93:25 SYN_SENT
tcp 0 1 112.221.195.196:47342 205.113.119.76:25 SYN_SENT
tcp 0 1 112.221.195.196:50921 205.113.119.50:25 SYN_SENT
tcp 0 1 112.221.195.196:50509 205.113.119.48:25 SYN_SENT
tcp 0 1 112.221.195.196:38093 205.113.119.97:25 SYN_SENT
tcp 0 1 112.221.195.196:50452 205.113.119.51:25 SYN_SENT
tcp 0 1 112.221.195.196:43905 205.113.120.82:25 SYN_SENT
tcp 0 1 112.221.195.196:37026 205.113.119.103:25 SYN_SENT
tcp 0 1 112.221.195.196:55737 205.113.119.46:25 SYN_SENT
이 계속 뜹니다. 서버를 재시작해도 205.113 이부분만 아이피가 바뀐상태로
새로 뜨고있습니다. 25번포트는 메일포트인데 iptable 상으로는 차단되어있구요...
센드메일이 구동되어있지만 쓰지는않습니다. 어느날부터 이러는데 구글링을해봐도 도저히 답이안나와서
2cpu에 올리게되었습니다..
센토스5.7 기반이고 웹서버입니다.. 당췌 왜이러는걸까요..
Àú ¼¹ö´Â ȸ»çÁöÀεéÀÌ ±×³É ºí·Î±×µé 40°³Á¤µµ ÀÖ´Â ¼¹ö¶ó..
°ñ¸¸¾ÆÇÁ³×¿ä...½Ï ¹Ð°í ´Ù½Ã¼Â¾÷ÇؾßÇÒ·Á³ª ½Í±âµµÇϱ¸¿ä...
¿äÁòÀº °øÀ¯±â¿¡¼µµ Àú °ø°ÝÀ» ¸·¾ÆÁÖ´Â°Ô ±âº»À¸·Î µé¾îÀÖ°ï Çϰŵç¿ä ...Áß°£¿¡ .. °øÀ¯±â °°Àº°É·Î ´ëó ÇϽðųª syn-flood ·Î °Ë»öÇϼż Á¶Ä¡ ¹æ¹ýÀ» Çغ¸¼¼¿ä..
Çѹø ¿¬°áÇغÁ¾ß°Ú³×¿ä.. iptime t3008 Çϳª µ¹¾Æ´Ù´Ï´Â°Ô ÀÖ¾î¼..
ÆÁ °í¸¿½À´Ï´Ù!
Áö±Ý ¿î¿µÇÏ°í °è½Ã´Â ¼¹ö¿¡¼ 205.113 ´ë¿ª´ëÀÇ 25¹ø Æ÷Æ®·Î ³×Æ®¿öÅ© ½ºÄ³´×À» ÇÏ°í ÀÖ½À´Ï´Ù. (TCP handshakingÀ» ÀÌ¿ëÇÑ ½ºÄ³´×)
25¹ø Æ÷Æ®¸¦ ½ºÄ³´×ÇÏ°í ÀÖ´Â °ÍÀ¸·Î ºÁ¼´Â 205.113 ´ë¿ª´ëÀÇ È£½ºÆ® Áß¿¡¼ sendmailÀ» ¿î¿µÇÏ°í ÀÖ´Â ¼¹ö¸¦ ãÀº ´ÙÀ½, relay¸¦ ÀÌ¿ëÇØ ´ë·®ÀÇ ½ºÆÔ ¸ÞÀÏÀ» ¹ß¼ÛÇϰųª sendmail Ãë¾àÁ¡ °ø°ÝÀ» ÇÏ·Á´Â °Í °°½À´Ï´Ù.
ÇѸ¶µð·Î Áö±Ý ¿î¿µÇÏ°í °è½Ã´Â ¼¹ö¿¡ ¾Ç¼º ½ºÅ©¸³Æ® ȤÀº ¹ÙÀ̳ʸ®°¡ ½ÇÇàµÇ°í ÀÖ´Ù´Â À̾߱âÀÔ´Ï´Ù.
¸»¾¸ÇϽŠ°Íó·³ ½Ã½ºÅÛÀ» ¿ÏÀüÈ÷ »õ·Î ¼³Ä¡ÇϽô °ÍÀÌ °¡Àå ÁÁÀº ¹æ¹ýÀÌ°í, ¾Æ´Ï¸é ÇØ´ç ÇÁ·Î¼¼½º¸¦ ã¾Æ¼ °Á¦ Á¾·áÇÏ°í ½Ã½ºÅÛ ½ÃÀÛ ½Ã¿¡ ÀÚµ¿À¸·Î ½ÃÀ۵ǵµ·Ï Ãß°¡µÈ ºÎºÐÀ» »èÁ¦ÇÏ¼Å¾ß ÇÕ´Ï´Ù.
»¡¸® Á¶Ä¡¸¦ ÃëÇÏ¼Å¾ß ÇÒ °Í °°½À´Ï´Ù.
¾î¶² ¶¢»õ°¡ ±×·±°É ¼³Ä¡Çسù´ÂÁö... ½ºÅ³À̳·¾Æ¼
±×°É ãÀ»¹æ¹ýÀ̾ø³×¿ä...»õ·Î¼³Ä¡Çϴ¼ö¹Û¿¡...¾øÀ»°Å°°±âµµÇϳ׿ä
ÈÄÀ¯.. ÁÁÀº¹æ¹ýÀÖÀ¸¸é ÆÁÁ»ºÎŹµå¸®°Ú½À´Ï´Ù
°¨»çÇÕ´Ï´Ù.
ÀÏÂ÷ÀûÀ¸·Î ÇØÅ· ´çÇѰű¸¿ä 2Â÷´Â ¾Õ´Ü¿¡ ¹æȺ® ¾øÀ¸¸é °ÅÀÇ ½±°Ô Åи®´Âµ¥...
»ý°¢¿Ü·Î sendmail·Î ½ºÆÔ ¹ß¼ÛÇÏ´Â ¾Ç´çµéÀÌ ¸¹½À´Ï´Ù.
ssh Æ÷Æ® º¯°æÇϽðí, pc¿¡´Â °ÇÑ º¸¾ÈÇÁ·Î±×·¥ ¼³Ä¡ÇϽñ¸¿ä.
¶Ç´Â ½Ã½ºÅÛ ·Î±×ÀÎ(sshµî)ÀÌ °¡´ÉÇÑ ÀÏ¹Ý °èÁ¤ÀÌ ÅзÈÀ» °Ì´Ï´Ù.
1.À¥ ·Î±× »ó ¾Ç¼ºÄÚµå ¾÷·Îµå ÀÌ·Â È®ÀÎ
2./var/log/secure µî ½Ã½ºÅÛ Á¢±Ù ÀÌ·Â(½ÇÆÐ/¼º°ø) È®ÀÎ
3.lsofµîÀ¸·Î smtp,pop3 brute force Åø ¼³Ä¡ À§Ä¡ È®ÀÎ ¹× ÇÁ·Î¼¼½º Á¾·á
µîÀ¸·Î ħÇØ °æ·Î¸¦ ÆľÇÇØ º¸¼¼¿ä.
¾Ç¼ºÅø·Î´Â scanbunÀ̶ó°í Àß ¾²ÀÔ´Ï´Ù.
ÀϹݰèÁ¤ Åи° ÈÄ ¾²±â°¡ °¡´ÉÇÑ /tmp/scanbun À§Ä¡ È®ÀÎÇغ¸½Ã°í¿ä.
ÇØ´ç °æ·Î³» ½ÇÇà ½ºÅ©¸³Æ® ¹× °ø°ÝIP¸®½ºÆ® vuln.txt, session.php µî ÀÖÀ¸¸é È®½ÇÇÕ´Ï´Ù.
Áö¿ì¼¼¿ä.
¿©±â±îÁö ÁøÇàµÇ¼ÌÀ¸¸é ħÇØµÈ °æ·Î¸¦ º¸¿ÏÇÏ¿© ½Ã½ºÅÛ º¸¾ÈÀ» °ÈÇϽʽÿä.
sys_sent °ü·Ã¹®Á¦´Â Çö½Ã°£±îÁö ¹ß»ýÇÏÁö¾Ê°í psµµ Á¤»óÀûÀ̳׿ä
¸»¾¸ÇϽŵ¥·Î º¸¾È½Å°æ½á¼ °ÈÇϵµ·Ï ÇÏ°Ú½À´Ï´Ù.
¿ª½Ã 2cpu..¸íºÒÇãÀü ºÎ·´½À´Ï´Ù. ¸¹À̹è¿ö°©´Ï´Ù.
±ÇÇÑ °ü·Ã À¯Æ¿°ú ÁÖ¿ä ½©Àº fake À¯Æ¿°ú ½©·Î ´ëüÇØ ³õÀ¸½Ã°í
°ü¸®ÀÚ¸¸ ¾Æ´Â À̸§ÀÇ À¯Æ¿·Î ¹Ù²ã ³õÀ¸¼¼¿ä.
fake Æ®·¦ Àß ¾²¸é ¿ª°ø(?)µµ °¡´ÉÇÏÁö ¾ÊÀ»±î¿ä? ^^