¾ó¸¶ÀüºÎÅÍ ¼­¹ö1´ë¿¡¼­ ¹®Á¦°¡»ý°å½À´Ï´Ù.

   Á¶È¸ 7789   Ãßõ 0    

얼마전부터 운용하는 개인 웹서버중 한대가 문제가생겼습니다.

 

top에서 ps 프로세스가 계속 100%로 떠있습니다.

 

프로세스를 죽여도 바로 다시 100% 로 프로세스가 부하가걸리네요

 

 

그래서 netstat -an 으로 확인해보니

 

tcp        0      1 112.221.195.196:60504          205.113.119.6:25            SYN_SENT   

tcp        0      1 112.221.195.196:48734          205.113.119.84:25           SYN_SENT   

tcp        0      1 112.221.195.196:53315          205.113.119.59:25           SYN_SENT   

tcp        0      1 112.221.195.196:32820          205.113.118.109:25          SYN_SENT   

tcp        0      1 112.221.195.196:36461          205.113.118.99:25           SYN_SENT   

tcp        0      1 112.221.195.196:55504          205.113.120.59:25           SYN_SENT   

tcp        0      1 112.221.195.196:33263          205.113.118.108:25          SYN_SENT   

tcp        0      1 112.221.195.196:44855          205.113.120.78:25           SYN_SENT   

tcp        0      1 112.221.195.196:37162          205.113.118.126:25          SYN_SENT   

tcp        0      1 112.221.195.196:48979          205.113.119.81:25           SYN_SENT   

tcp        0      1 112.221.195.196:47051          205.113.119.89:25           SYN_SENT   

tcp        0      1 112.221.195.196:33805          205.113.119.107:25          SYN_SENT   

tcp        0      1 112.221.195.196:59251          205.113.119.8:25            SYN_SENT   

tcp        0      1 112.221.195.196:37286          205.113.118.127:25          SYN_SENT   

tcp        0      1 112.221.195.196:54406          205.113.119.52:25           SYN_SENT   

tcp        0      1 112.221.195.196:46038          205.113.119.83:25           SYN_SENT   

tcp        0      1 112.221.195.196:53543          205.113.120.63:25           SYN_SENT   

tcp        0      1 112.221.195.196:51526          205.113.119.42:25           SYN_SENT   

tcp        0      1 112.221.195.196:60009          205.113.120.6:25            SYN_SENT   

tcp        0      1 112.221.195.196:35950          205.113.118.110:25          SYN_SENT   

tcp        0      1 112.221.195.196:33337          205.113.119.102:25          SYN_SENT   

tcp        0      1 112.221.195.196:36921          205.113.118.116:25          SYN_SENT   

tcp        0      1 112.221.195.196:50749          205.113.120.47:25           SYN_SENT   

tcp        0      1 112.221.195.196:59055          205.113.119.1:25            SYN_SENT   

tcp        0      1 112.221.195.196:51989          205.113.120.60:25           SYN_SENT   

tcp        0      1 112.221.195.196:49383          205.113.119.57:25           SYN_SENT   

tcp        0      1 112.221.195.196:45586          205.113.119.72:25           SYN_SENT   

tcp        0      1 112.221.195.196:33042          205.113.118.122:25          SYN_SENT   

tcp        0      1 112.221.195.196:35442          205.113.118.113:25          SYN_SENT   

tcp        0      1 112.221.195.196:47630          205.113.119.65:25           SYN_SENT   

tcp        0      1 112.221.195.196:50143          205.113.119.63:25           SYN_SENT   

tcp        0      1 112.221.195.196:33477          205.113.119.127:25          SYN_SENT   

tcp        0      1 112.221.195.196:46004          205.113.120.66:25           SYN_SENT   

tcp        0      1 112.221.195.196:54021          205.113.120.35:25           SYN_SENT   

tcp        0      1 112.221.195.196:48317          205.113.119.67:25           SYN_SENT   

tcp        0      1 112.221.195.196:44839          205.113.120.80:25           SYN_SENT   

tcp        0      1 112.221.195.196:39024          205.113.118.105:25          SYN_SENT   

tcp        0      1 112.221.195.196:51906          205.113.120.52:25           SYN_SENT   

tcp        0      1 112.221.195.196:60615          205.113.120.18:25           SYN_SENT   

tcp        0      1 112.221.195.196:39513          205.113.119.104:25          SYN_SENT   

tcp        0      1 112.221.195.196:59027          205.113.119.20:25           SYN_SENT   

tcp        0      1 112.221.195.196:51583          205.113.119.58:25           SYN_SENT   

tcp        0      1 112.221.195.196:53418          205.113.119.35:25           SYN_SENT   

tcp        0      1 112.221.195.196:40364          205.113.119.110:25          SYN_SENT   

tcp        0      1 112.221.195.196:44730          205.113.119.93:25           SYN_SENT   

tcp        0      1 112.221.195.196:47342          205.113.119.76:25           SYN_SENT   

tcp        0      1 112.221.195.196:50921          205.113.119.50:25           SYN_SENT   

tcp        0      1 112.221.195.196:50509          205.113.119.48:25           SYN_SENT   

tcp        0      1 112.221.195.196:38093          205.113.119.97:25           SYN_SENT   

tcp        0      1 112.221.195.196:50452          205.113.119.51:25           SYN_SENT   

tcp        0      1 112.221.195.196:43905          205.113.120.82:25           SYN_SENT   

tcp        0      1 112.221.195.196:37026          205.113.119.103:25          SYN_SENT   

tcp        0      1 112.221.195.196:55737          205.113.119.46:25           SYN_SENT

 

 

이 계속 뜹니다. 서버를 재시작해도 205.113 이부분만 아이피가 바뀐상태로

 

새로 뜨고있습니다. 25번포트는 메일포트인데 iptable 상으로는 차단되어있구요...

 

센드메일이 구동되어있지만 쓰지는않습니다. 어느날부터 이러는데 구글링을해봐도 도저히 답이안나와서

 

2cpu에 올리게되었습니다..

 

센토스5.7 기반이고 웹서버입니다.. 당췌 왜이러는걸까요..

ªÀº±Û Àϼö·Ï ½ÅÁßÇÏ°Ô.
±èÁ¦¿¬ 2013-01
SYN_FLOODING °ø°Ý ´çÇÏ°í °è½Ã´Â°Å °°³×¿ä.. ¾îµð °æÀï? ÇÏ´Â ±×·± ¾÷Á¾À̽Ű¡¿ä .. ´Ù¸¥°÷¿¡¼­ ÀǵµÀûÀ¸·Î °ø°Ý ÇÒ¼öµµ À־À̳׿ä..
     
¿ìÇüÀç 2013-01
Àúµµ ±×·¸°Ô º¸À̱â´ÂÇѵ¥ °æÀïÇÒ¸¸ÇÑ°Ç ¾ø´Âµ¥ ÀÌ°ÅÂü..
Àú ¼­¹ö´Â ȸ»çÁöÀεéÀÌ ±×³É ºí·Î±×µé 40°³Á¤µµ ÀÖ´Â ¼­¹ö¶ó..
°ñ¸¸¾ÆÇÁ³×¿ä...½Ï ¹Ð°í ´Ù½Ã¼Â¾÷ÇؾßÇÒ·Á³ª ½Í±âµµÇϱ¸¿ä...
±èÁ¦¿¬ 2013-01
¹Ð¾î¼­ ÇØ°á µÇ´Â°Ô ¾Æ´Ñ°Í °°½À´Ï´Ù... Áß°£¿¡ °øÀ¯±â³ª ¹æÈ­º®ÀÌ ¾øÀÌ ±×³É ¹Ù·Î À¥¼­¹öÀ̽Ű¡ºÁ¿ä?

¿äÁòÀº °øÀ¯±â¿¡¼­µµ Àú °ø°ÝÀ» ¸·¾ÆÁÖ´Â°Ô ±âº»À¸·Î µé¾îÀÖ°ï Çϰŵç¿ä ...Áß°£¿¡ .. °øÀ¯±â °°Àº°É·Î ´ëó ÇϽðųª syn-flood ·Î °Ë»öÇϼż­ Á¶Ä¡ ¹æ¹ýÀ» Çغ¸¼¼¿ä..
     
¿ìÇüÀç 2013-01
¸Â½À´Ï´Ù. °øÀ¯±â¾øÀÌ ¹Ù·Î ¿¬°áµÇ¾îÀÖ½À´Ï´Ù.
Çѹø ¿¬°áÇغÁ¾ß°Ú³×¿ä.. iptime  t3008 Çϳª µ¹¾Æ´Ù´Ï´Â°Ô À־..
ÆÁ °í¸¿½À´Ï´Ù!
±Çµ¿¿ì 2013-01
°ø°ÝÀ» ´çÇÏ°í ÀÖ´Â°Ô ¾Æ´Ï¶ó, ¿ÀÈ÷·Á ¿ÜºÎ·Î °ø°ÝÀ» ½ÃµµÇÏ°í ÀÖ´Â °Í °°½À´Ï´Ù.
Áö±Ý ¿î¿µÇÏ°í °è½Ã´Â ¼­¹ö¿¡¼­ 205.113 ´ë¿ª´ëÀÇ 25¹ø Æ÷Æ®·Î ³×Æ®¿öÅ© ½ºÄ³´×À» ÇÏ°í ÀÖ½À´Ï´Ù. (TCP handshakingÀ» ÀÌ¿ëÇÑ ½ºÄ³´×)
25¹ø Æ÷Æ®¸¦ ½ºÄ³´×ÇÏ°í ÀÖ´Â °ÍÀ¸·Î ºÁ¼­´Â 205.113 ´ë¿ª´ëÀÇ È£½ºÆ® Áß¿¡¼­ sendmailÀ» ¿î¿µÇÏ°í ÀÖ´Â ¼­¹ö¸¦ ãÀº ´ÙÀ½, relay¸¦ ÀÌ¿ëÇØ ´ë·®ÀÇ ½ºÆÔ ¸ÞÀÏÀ» ¹ß¼ÛÇϰųª sendmail Ãë¾àÁ¡ °ø°ÝÀ» ÇÏ·Á´Â °Í °°½À´Ï´Ù.
ÇѸ¶µð·Î Áö±Ý ¿î¿µÇÏ°í °è½Ã´Â ¼­¹ö¿¡ ¾Ç¼º ½ºÅ©¸³Æ® ȤÀº ¹ÙÀ̳ʸ®°¡ ½ÇÇàµÇ°í ÀÖ´Ù´Â À̾߱âÀÔ´Ï´Ù.
¸»¾¸ÇϽŠ°Íó·³ ½Ã½ºÅÛÀ» ¿ÏÀüÈ÷ »õ·Î ¼³Ä¡ÇϽô °ÍÀÌ °¡Àå ÁÁÀº ¹æ¹ýÀÌ°í, ¾Æ´Ï¸é ÇØ´ç ÇÁ·Î¼¼½º¸¦ ã¾Æ¼­ °­Á¦ Á¾·áÇÏ°í ½Ã½ºÅÛ ½ÃÀÛ ½Ã¿¡ ÀÚµ¿À¸·Î ½ÃÀ۵ǵµ·Ï Ãß°¡µÈ ºÎºÐÀ» »èÁ¦ÇÏ¼Å¾ß ÇÕ´Ï´Ù.
»¡¸® Á¶Ä¡¸¦ ÃëÇÏ¼Å¾ß ÇÒ °Í °°½À´Ï´Ù.
     
¿ìÇüÀç 2013-01
Àúµµ ±×·±ºÎºÐÀÌ Á» ÀÌ»óÇÑ°Å°°±äÇÕ´Ï´Ù.
¾î¶² ¶¢»õ°¡ ±×·±°É ¼³Ä¡Çسù´ÂÁö... ½ºÅ³À̳·¾Æ¼­
±×°É ãÀ»¹æ¹ýÀ̾ø³×¿ä...»õ·Î¼³Ä¡Çϴ¼ö¹Û¿¡...¾øÀ»°Å°°±âµµÇϳ׿ä
ÈÄÀ¯.. ÁÁÀº¹æ¹ýÀÖÀ¸¸é ÆÁÁ»ºÎŹµå¸®°Ú½À´Ï´Ù
°¨»çÇÕ´Ï´Ù.
±èÁ¦¿¬ 2013-01
¹«½ÄÀÌ Åº·Î³µ³×¿ä.. Çϳª ¹è¿ö°©´Ï´Ù
±èÀ±¼ú 2013-01
½ºÅ©¸³Æ® µ¥¸óÀÌ °É·Á ÀÖÀ»°Å¿¡¿ä. Windows ¿¡¼­µµ ¸¶Âù°¡Áö·Î ¹é±×¶ó¿îµå·Î ¸ÞÀϼ­¹ö ¾ÆÀÌÇÇ ¸®½ºÆ®¶û ¸ÞÀÏ °èÁ¤À» ÂüÁ¶Çؼ­ ¿ø¹®À» ¹«ÀÛÀ§·Î ¹ß¼ÛÇÏ´Â ½ºÆÔ Á»ºñ°¡ µÈ »óÅÂÀÔ´Ï´Ù.
ÀÏÂ÷ÀûÀ¸·Î ÇØÅ· ´çÇѰű¸¿ä 2Â÷´Â ¾Õ´Ü¿¡ ¹æÈ­º® ¾øÀ¸¸é °ÅÀÇ ½±°Ô Åи®´Âµ¥...
ȸ¿øK 2013-01
sendmailÀ» ¾È¾²¸é À缳ġ º¸´Ù »èÁ¦ÇϽô °ÍÀÌ ÁÁ½À´Ï´Ù.
»ý°¢¿Ü·Î sendmail·Î ½ºÆÔ ¹ß¼ÛÇÏ´Â ¾Ç´çµéÀÌ ¸¹½À´Ï´Ù.
ssh Æ÷Æ® º¯°æÇϽðí, pc¿¡´Â °­ÇÑ º¸¾ÈÇÁ·Î±×·¥ ¼³Ä¡ÇϽñ¸¿ä.
¾ç´ë°¨ 2013-01
À¥ Ãë¾àÁ¡À» ÀÌ¿ëÇÏ¿© ¾÷·ÎµåµÈ À¥¼¿ÀÌ Àְųª,
¶Ç´Â ½Ã½ºÅÛ ·Î±×ÀÎ(sshµî)ÀÌ °¡´ÉÇÑ ÀÏ¹Ý °èÁ¤ÀÌ ÅзÈÀ» °Ì´Ï´Ù.

1.À¥ ·Î±× »ó ¾Ç¼ºÄÚµå ¾÷·Îµå ÀÌ·Â È®ÀÎ
2./var/log/secure µî ½Ã½ºÅÛ Á¢±Ù ÀÌ·Â(½ÇÆÐ/¼º°ø) È®ÀÎ
3.lsofµîÀ¸·Î smtp,pop3 brute force Åø ¼³Ä¡ À§Ä¡ È®ÀÎ ¹× ÇÁ·Î¼¼½º Á¾·á

µîÀ¸·Î ħÇØ °æ·Î¸¦ ÆľÇÇØ º¸¼¼¿ä.
¾Ç¼ºÅø·Î´Â scanbunÀ̶ó°í Àß ¾²ÀÔ´Ï´Ù.
ÀϹݰèÁ¤ Åи° ÈÄ ¾²±â°¡ °¡´ÉÇÑ /tmp/scanbun À§Ä¡ È®ÀÎÇغ¸½Ã°í¿ä.
ÇØ´ç °æ·Î³» ½ÇÇà ½ºÅ©¸³Æ® ¹× °ø°ÝIP¸®½ºÆ® vuln.txt, session.php µî ÀÖÀ¸¸é È®½ÇÇÕ´Ï´Ù.
Áö¿ì¼¼¿ä.

¿©±â±îÁö ÁøÇàµÇ¼ÌÀ¸¸é ħÇØµÈ °æ·Î¸¦ º¸¿ÏÇÏ¿© ½Ã½ºÅÛ º¸¾ÈÀ» °­È­ÇϽʽÿä.
¿ìÇüÀç 2013-01
´äº¯µé °¨»çµå¸³´Ï´Ù. 1Â÷ÀûÀ¸·Î °øÀ¯±â ¾Õ´Ü¿¡ ºÙÀÌ°í ÀçºÎÆÃÇϴϱî
sys_sent °ü·Ã¹®Á¦´Â Çö½Ã°£±îÁö ¹ß»ýÇÏÁö¾Ê°í psµµ Á¤»óÀûÀ̳׿ä
¸»¾¸ÇϽŵ¥·Î º¸¾È½Å°æ½á¼­ °­È­Çϵµ·Ï ÇÏ°Ú½À´Ï´Ù.
¿ª½Ã 2cpu..¸íºÒÇãÀü ºÎ·´½À´Ï´Ù. ¸¹À̹è¿ö°©´Ï´Ù.
Curixsoft 2013-01
¾È ¾²´Â ¼­ºñ½º´Â ¸ðÁ¶¸® Áö¿ö ³õ°í.
±ÇÇÑ °ü·Ã À¯Æ¿°ú ÁÖ¿ä ½©Àº fake À¯Æ¿°ú ½©·Î ´ëüÇØ ³õÀ¸½Ã°í
°ü¸®ÀÚ¸¸ ¾Æ´Â À̸§ÀÇ À¯Æ¿·Î ¹Ù²ã ³õÀ¸¼¼¿ä.

fake Æ®·¦ Àß ¾²¸é ¿ª°ø(?)µµ °¡´ÉÇÏÁö ¾ÊÀ»±î¿ä? ^^


QnA
Á¦¸ñPage 3538/5686
2014-05   4976634   Á¤ÀºÁØ1
2015-12   1512756   ¹é¸Þ°¡
2015-07   3732   ±èÇö¸°
2014-03   8126   ¿À¸ç°¡¸ç
2016-08   5410   ±è°Ç¿ì
2018-11   3082   ÀüÁø
2018-12   3119   ȣȣ
2015-08   6806   Å×µ¹¾ÆÀÌ
2018-12   2981   2CPUÃÖÁÖÈñ
2012-03   5237   ¹ÚÇö±Ù
2018-12   2074   Çϳª·ë
2020-02   2960   ´ÃÆĶõ
2018-12   3201   ½º¹«ÇÁ
09-13   419   ¹ÝÆȸÇ
2014-04   4482   ¸®Ä«¶ó¹Ù
2015-08   4337   ±èȲÁß
2014-04   4336   ±è»ó¹Î
2017-09   3457   °¡ºü·Î±¸³ª
2015-08   3815   ÀÓ½ÃÇö
2014-04   3821   °û¼øÇö
2015-08   3440   °×¸Ó
2018-12   4850   Nikon