이런.. 호스팅 회사로 부터 연락이 왔다..(SMS/Mail) ———————————————————– 아래와 같이 IPS에서 bot으로 의심되는 이벤트가 탐지되었습니다. 해당 IP 점검하여 보시기 바랍니다. ————– 아 래 ——————- 1. Event name: UrxBot Worm IRC Activity 2. Source IP: 202.134.0.199(Port 6667) 3. Destination IP: 000.000.000.000 … Continue reading
CentOS 설치후 작업 1. 시작데몬 설정.
|
1 |
]# ntsysv |
sshd crond network syslog xinetd 만 빼고 모두 체크 해제한다. 재시작 한번 해준다. 2. DNS 설정
|
1 2 |
]# vi /etc/resolv.conf nameserver 168.126.63.1 |
3. ssh 보안 설정
|
1 2 3 4 5 |
]# vi /etc/ssh/sshd_config ... # 앞에 주석 # 삭제 후 포트번호 변경 port 0000 ... |
root 계정을 막기 전에 다른 계정을 생성한다.
|
1 2 3 4 5 6 7 8 9 10 |
]# useradd xxxx ]# passwd xxxx Changing password for user xxxx. New UNIX password: Retype new UNIX password: ]# vi /etc/ssh/sshd_config ... # 앞에 주석 # 삭제 후 yes를 no로 변경 PermitRootLogin no ... |
4 ftp … Continue reading
Notice : 해당 자료가 저작권등에 의해서 문제가 있다면 바로 삭제하겠습니다. 연구목적으로 사용하지 않고 악의적인 목적으로 이용할 경우 발생할 수 있는 법적은 책임은 모두 본인에게 있습니다. SSH Brute-force 공격 분석 최근 들어서 리눅스 서버의 secure 로그나 Abuse 메일들을 확인해 보면 … Continue reading
Notice : 해당 자료가 저작권등에 의해서 문제가 있다면 바로 삭제하겠습니다. 연구목적으로 사용하지 않고 악의적인 목적으로 이용할 경우 발생할 수 있는 법적은 책임은 모두 본인에게 있습니다. ssh port scan 소스 중 일부이다. 해킹당한 고객사 서버 점검 중 발견..(하여간 보안에 제발 … Continue reading
지겨운놈들.. 계속 공격 시도중… 경로 위치는 /usr/local/service/
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 |
]# vi denyip.sh #!/bin/bash # Script by Yunkiman # Modified by icworld # Second Modified by dksniper(http://blog.naver.com/dksniper) # Convert oops-firewall to hosts.deny days=`date +%d` nowdir=`pwd` savedir="$nowdir/denylist" cleanfile="$nowdir/hosts.dat" cnt=0 if [ -e /var/log/secure ] then for i in $( tail -n50 /var/log/secure | grep "^[A-Za-z ]\{4,\}$days" | grep "Failed password" | awk -F "from" '{print $2}' | awk '{prin t $1}' | sort | uniq -c | awk '$1 > 8 {print $2}'); do denyip=${i#::ffff:} #ip format ::ffff:0.0.0.0 echo "ALL : $denyip" >> $savedir cnt=$(($cnt+1)) done fi #If not found then exit if [ $cnt = 0 ] then exit fi for a in $( cat /etc/hosts.deny | grep "ALL : " | awk '{print $3}' | sort | uniq -c | awk '{print $2}'); do echo "ALL : $a" >> $savedir done #cp $cleanfile /etc/hosts.deny echo "# # hosts.deny This file describes the names of the hosts which are # *not* allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line is redundant, but it is left to remind you that # the new secure portmap uses hosts.deny and hosts.allow. In particular # you should know that NFS uses portmap! " > /etc/hosts.deny for b in $( cat $savedir | grep "ALL : " | awk '{print $3}' | sort | uniq -c | awk '{print $2}'); do echo "ALL : $b" >> /etc/hosts.deny done rm -rf $savedir /etc/init.d/xinetd reload |
위의 파일을 스크립트를 실행할 디렉토리(저의 경우는 /usr/local/service/)에 만들어 넣은 후 crontab에 다음과 같이 등록.
|
1 |
1-60/5 * * * * /usr/local/service/denyip.sh > /dev/null 2>&1 |
이렇게 하면 5분마다 한번씩 검사하여 5번이상 틀린사람은 거부를 하게함. 참고 : http://www.oops.org/SERVICE/jsboard/read.php?table=jsboard_oopsFAQ&no=426&page=2 http://www.oops.org/SERVICE/jsboard/read.php?table=jsboard_oopsFAQ&no=503&page=2
오늘 우연찮게 message 로그를 보게 되었는데.. 이런!!!! 이런 메세지들이 엄청나게 있는것이 아닌가?ㅡㅡ;;;;
|
1 2 3 4 5 6 7 8 9 10 11 |
Aug 10 08:26:28 xxxxxxxx sshd(pam_unix)[31593]: check pass; user unknown Aug 10 08:26:28 xxxxxxxx sshd(pam_unix)[31593]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=hostpartner-32.open-path.net Aug 10 08:26:33 xxxxxxxx sshd(pam_unix)[31594]: check pass; user unknown Aug 10 08:26:33 xxxxxxxx sshd(pam_unix)[31594]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=hostpartner-32.open-path.net Aug 10 08:26:39 xxxxxxxx sshd(pam_unix)[31595]: check pass; user unknown Aug 10 08:26:39 xxxxxxxx sshd(pam_unix)[31595]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=hostpartner-32.open-path.net Aug 10 08:26:44 xxxxxxxx sshd(pam_unix)[31596]: check pass; user unknown Aug 10 08:26:44 xxxxxxxx sshd(pam_unix)[31596]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=hostpartner-32.open-path.net Aug 10 08:26:49 xxxxxxxx sshd(pam_unix)[31597]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=hostpartner-32.open-path.net user=root Aug 10 08:26:54 xxxxxxxx sshd(pam_unix)[31598]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=hostpartner-32.open-path.net user=root Aug 10 08:27:00 xxxxxxxx sshd(pam_unix)[31599]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=hostpartner-32.open-path.net user=root |
어떤 XX가 서버에 root로 로그인을 하려고 수작을 부리는게 분명했다.. 그래서 어떻할까 고민을 하다가 우선은 sshd의 root 접속을 막고, 포트를 바꿔야 겠다..ㅋ /etc/ssh/sshd_config 변경. PermitRootLogin no Port … Continue reading
Notice : 해당 자료가 저작권등에 의해서 문제가 있다면 바로 삭제하겠습니다. 연구목적으로 사용하지 않고 악의적인 목적으로 이용할 경우 발생할 수 있는 법적은 책임은 모두 본인에게 있습니다. ######################################################################### # ICMP패킷을 이용한 장난감 # # 글쓴이 : 노광민 # email : dalgu2@orgio.net … Continue reading
chkrootkit 설치 파일 무결성 검사, 루트킷 체킹 프로그램(chkrootkit)을 이용하여 검사 가능 홈페이지 : http://www.chkrootkit.org/ 다운받기
|
1 |
]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz |
설치는 그냥 컴파일만 하면된다.
|
1 |
]# make |
실행
|
1 |
]# ./chkrootkit |
크론으로 매일 특정시간에 체크해서 로그를 남겨두면 좋을 것 같다.
아이폰 출시 3일만에 루트 패스워드 유출 해커의 집중 공략대상이 되고 있는 애플의 아이폰이 출시 3일만에 초기 계정 암호 정보가 해킹됐다. 개발자를 위한 SDK를 공개하지 않을 정도로 보안에 신경쓰고 있었지만 불과 3일만에 아이폰의 펌웨어가 유출되고 초기 계정 암호까지 해킹된 것. … Continue reading
역공학에 대해서 네이버 백과사전은 이렇게 말한다.. 개발이 완료되어 유지보수가 이루어지고 있는 소프트웨어 시스템의 구성요소를 알아 내고, 구성요소들 간의 관계를 식별하고, 대상(object) 시스템을 분석하는 과정이다. 즉, 소프트웨어 생명주기의 마지막 단계에서 얻어지는 프로그램이나 문서 등을 이용하여 생명주기 초기 단계의 생성물에 해당하는 … Continue reading