해킹을 당하고 있는데요. 어떻게 대처하면 좋을까요?

고수님들은 이런 경우 어떻게 대처하시나요?

Apr 1 07:58:35 hanws-desktop vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=77.68.42.49
Apr 1 07:58:38 hanws-desktop vsftpd: pam_unix(vsftpd:auth): check pass; user unknown
Apr 1 07:58:38 hanws-desktop vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=77.68.42.49
Apr 1 07:58:43 hanws-desktop vsftpd: pam_unix(vsftpd:auth): check pass; user unknown
Apr 1 07:58:43 hanws-desktop vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=77.68.42.49
Apr 1 07:58:47 hanws-desktop vsftpd: pam_unix(vsftpd:auth): check pass; user unknown
Apr 1 07:58:47 hanws-desktop vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=77.68.42.49
Apr 1 07:58:51 hanws-desktop vsftpd: pam_unix(vsftpd:auth): check pass; user unknown

Apr 1 12:25:13 hanws-desktop sshd[8513]: Failed password for root from 121.115.190.51 port 40264 ssh2
Apr 1 12:25:14 hanws-desktop sshd[8515]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=i121-115-190-51.s05.a013.ap.plala.or.jp user=root
Apr 1 12:25:16 hanws-desktop sshd[8515]: Failed password for root from 121.115.190.51 port 40684 ssh2
Apr 1 12:25:18 hanws-desktop sshd[8517]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=i121-115-190-51.s05.a013.ap.plala.or.jp user=root
Apr 1 12:25:19 hanws-desktop sshd[8517]: Failed password for root from 121.115.190.51 port 41168 ssh2
Apr 1 12:25:21 hanws-desktop sshd[8519]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=i121-115-190-51.s05.a013.ap.plala.or.jp user=root
Apr 1 12:25:23 hanws-desktop sshd[8519]: Failed password for root from 121.115.190.51 port 41346 ssh2
Apr 1 12:25:24 hanws-desktop sshd[8543]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=i121-115-190-51.s05.a013.ap.plala.or.jp user=root

Apr 1 17:20:27 hanws-desktop sshd[9575]: pam_unix(sshd:auth): check pass; user unknown
Apr 1 17:20:27 hanws-desktop sshd[9575]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sandbox.gau.hu
Apr 1 17:20:28 hanws-desktop sshd[9578]: Invalid user shortcut from 192.188.242.3
Apr 1 17:20:28 hanws-desktop sshd[9578]: pam_unix(sshd:auth): check pass; user unknown
Apr 1 17:20:28 hanws-desktop sshd[9578]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sandbox.gau.hu
Apr 1 17:20:28 hanws-desktop sshd[9576]: Failed password for invalid user doris from 192.188.242.3 port 40951 ssh2
Apr 1 17:20:28 hanws-desktop sshd[9581]: Invalid user d from 192.188.242.3

너무 길어서 일부 만 올렸습니다.

얼마전 부터 시스템이 눈에 띄게 많이 느려지더군요. 원인을 몰라 이것 저것 뒤적이다가
시스템 모니터를 켜보니 넷트워크 모니터가 사용하지도 않는데 그래프가 요동을 치더군요.
일단 해킹을 의심하고
gmone-system-log 실행해보니 위 그림처럼 아이디를 바꿔가며 로그인을 시도하더군요.

일단 구글링, 도라키님의 심플한 방화벽 설명 보고 설치
이젠 열어논 포트로만 들어옵니다.
22번 21번
취미 삼아 많든 서버를 끈질기게 해킹을 하네요. 뭐 중요한건 없지만 무척 짜증이 나고
로그인 실패도 있고 성공도 있는 것같고
대책없이 쳐다만 봐야하는 비참함(복수 해주고 싶지만 어쩔 수 없이 참습니다.^^)

질문 있습니다.

  1. sshd 설치 하면 ftp서버 따로 설치를 안해도 되나요?

  2. 위 그림처럼 줄기차게 들어오는 놈들 자동으로 차단 할 수 있는 방법은
    (예를 들어 3번이상 로그인 실패시 아이피 차단을 한다든가 하는 방법)

  3. 해킹시도하는 실력이 있음 당연히 아이피 바꿔서 해킹을 시도 하겠지만
    그 아이피로 메시지를 보내고 싶어요. (제발 들어 오지 말라고^^)

  4. gmome-system-log 너무 길어서 보기가 힘듭니다.
    로그가 길어 지면 읽고 쓰기는 시간이 길어 질것 같은데 자동으로 일정 크기가 되면 덮어쓰나요?
    아님 별도로 관리를 해야 하나요.
    사용하기 편한 대체한 만한 프로그램은 없나요?

  5. 간혹 로그중에
    Apr 1 17:39:01 hanws-desktop CRON[13049]: pam_unix(cron:session): session opened for user root by (uid=0)
    Apr 1 17:39:01 hanws-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.34" (uid=1000 pid=3636 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.84" (uid=0 pid=13049 comm="/USR/SBIN/CRON "))
    Apr 1 17:39:01 hanws-desktop CRON[13049]: pam_unix(cron:session): session closed for user root
    이런 것도 있던데 뚤린건가요 ?

고수님들의 답변 기대됩니다.

[quote="korcow":1zbteb3n]

  1. sshd 설치 하면 ftp서버 따로 설치를 안해도 되나요?
    [/quote:1zbteb3n] ssh 는 따로 sftp가 가능 합니다. 단 여러명이 쓰는 서버라면 ftp(21번)도 필요 합니다.
    ftp 운영은 필요에 따라 하시면 됩니다.

[quote="korcow":1zbteb3n]2. 위 그림처럼 줄기차게 들어오는 놈들 자동으로 차단 할 수 있는 방법은
(예를 들어 3번이상 로그인 실패시 아이피 차단을 한다든가 하는 방법)[/quote:1zbteb3n] 방화벽에 대해 알아 보십시요
우분투는 iptables를 편하게 설정하는 ufw 가 있습니다. 몇명만 쓰는 서버라면 ssh 를 막고 사용가능한 ip 만 허용해보시기 바랍니다
참고 : http://ubuntuforums.org/showthread.php?t=823741

https://help.ubuntu.com/community/Uncom ... ction=show

[quote="korcow":1zbteb3n]3. 해킹시도하는 실력이 있음 당연히 아이피 바꿔서 해킹을 시도 하겠지만
그 아이피로 메시지를 보내고 싶어요. (제발 들어 오지 말라고^^)[/quote:1zbteb3n]해킹시도란게 실력 없는 이들이 프로그램 돌리는 정도 입니다. 항상 존재 합니다.[quote="korcow":1zbteb3n]4. gmome-system-log 너무 길어서 보기가 힘듭니다.
로그가 길어 지면 읽고 쓰기는 시간이 길어 질것 같은데 자동으로 일정 크기가 되면 덮어쓰나요?
아님 별도로 관리를 해야 하나요.
사용하기 편한 대체한 만한 프로그램은 없나요?
[/quote:1zbteb3n] /etc/syslog.conf 를 보시면 효과적으로 로그를 짜르고 있습니다.
또한 /etc/logrotate.d 에서도 로그 관련 정리를 하고 있는 설정이 있습니다. log 관련 하여 더 알아 보시기 바랍니다.
걱정 안하셔도 기본설정으로 로그 관리가 가능 합니다. ^^

[quote="korcow":1zbteb3n]5. 간혹 로그중에
Apr 1 17:39:01 hanws-desktop CRON[13049]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 1 17:39:01 hanws-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.34" (uid=1000 pid=3636 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.84" (uid=0 pid=13049 comm="/USR/SBIN/CRON "))
Apr 1 17:39:01 hanws-desktop CRON[13049]: pam_unix(cron:session): session closed for user root
이런 것도 있던데 뚤린건가요 ?[/quote:1zbteb3n]뚤린게 아니라 위메세지는 cron이 주기적인 작업을 한 메세지 입니다.

해킹시도란게 위에서 말했듯이 해킹 프로그램을 돌려 해킹시도 한것뿐입니다.
방화벽(iptables) 와 로고 관리에 대해 더 정보를 아시게 되길 바랍니다.

저럴 때는 일단 급하게 휘둘러 막기로 /etc/hosts.deny에 뻘짓하는 IP를 subnet 단위로 적어 넣어심이 ^^

검색으로 찾아 본겁니다.
자동으로 iptables를 이용해 크래킹으로 의심되는 ip를 차단해 줍니다.

============================================
apt-get install fail2ban

이 프로그램은 로그인 시도가 몇 회 이상 실패하면 해당 IP를 차단합니다.

IP 차단은 iptables를 사용합니다.

설정 파일은

/etc/fail2ban/jail.conf

[ssh], [apache]처럼 섹션으로 구분되어 있습니다.

[ssh]

enabled = true
port = ssh,sftp
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

maxretry는 로그인 실패횟수 지정합니다. 3회 틀리면 해당 IP를 차단합니다.
maxretry알아서 지정하시면 됩니다.

[apache]

enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*access.log
maxretry = 3

default action is now multiport, so apache-multiport jail was left

for compatibility with previous (<0.7.6-2) releases

[apache-multiport]

enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*access.log
maxretry = 3

아파치도 기본 설정이 되어 있는데, 기본값은 사용안함으로 되어 있습니다.

만일 아파치도 로그인 오류 제한을 하려면 enabled = true로 변경하면 됩다.

fail2ban은 각각의 서버 로그 파일을 참조해서 정규식을 이용해서 실패횟수를 판단합니다

궁금한게 있는데요.

아파치로의 로그인이 말하는게 무엇인가요?

ssh는 이해가 가는데, 아파치로의 로그인?

뭔가 제가 모르는 서비스의 작동 원리(?) 같은 부분이 있을 것 같은…

[quote="classian":3thasl7z]궁금한게 있는데요.

아파치로의 로그인이 말하는게 무엇인가요?

ssh는 이해가 가는데, 아파치로의 로그인?

뭔가 제가 모르는 서비스의 작동 원리(?) 같은 부분이 있을 것 같은…[/quote:3thasl7z]

추측으로 말씀드리면 아파치 인증을 말하는것 같습니다.

예를 들어 회원관리 스크립트를 만들경우 로그인을 만들죠?
아파치 인증을 사용하는 경우와 스크립트와 디비를 이용해 인증하는 경우가 있는데 아파치 로그인이라는 것은
아파치 인증을 예기 하는 것 같습니다.
상세한 내용은 아파치 인증을 검색해 보심이…