[이현철]님이 남기신 글:
>-----------------------------------------
>답변자가 기본적으로 참고할 내용입니다.
>- 배포판(옵션) :
>- 커널버전(옵션) :
>- 데몬버전(예:apache 1.3.27) :
>- 데몬설치유형(RPM/컴파일/기타) :
>-----------------------------------------
> 하나 여쭈어 볼려고 합니다
>서버에 몇칠전부터 접속해 있는 사용자를 조사해보면
>[test-mgr@mail ]$ finger
>Login Name Tty Idle Login Time Office Office Phone
>test-mgr pts/1 Nov 15 13:15 (xxx.xxx.xxx.xxx -- 제가 접속해 있는 아이피)
>test-mgr *pts/6 319d Nov 11 16:43 (xxx.xxx.xxx.xxx --제가 접속해 있는 아이피)
>
>그런데 pts/6을 보면 엄청 오랜시간동안 접속 된것같은데 저 말고 접속한 사람이 없는데 말이죠.
>root@mail ]# ps -ef |grep pts*
>test-mgr 21970 21953 0 13:15 pts/1 00:00:00 -bash
>test-mgr 22007 21970 0 13:16 pts/1 00:00:00 bash
>root 8555 22007 0 19:16 pts/1 00:00:00 su
>root 8562 8555 0 19:16 pts/1 00:00:00 bash
>root 9514 8562 0 19:18 pts/1 00:00:00 ps -ef
>root 9515 8562 0 19:18 pts/1 00:00:00 grep pts*
>[root@mail ]# ps -ef |grep pts/6
>root 9487 8562 0 19:18 pts/1 00:00:00 grep pts/6
>
>위처럼 pst/6 를 통한 터미널 접속 데몬이 없는데 말이죠..
>단순한 finger 명령어 오류일까요.. 뭐 운영중인 서버를 리부팅하기도 그렇고..해서... 어떻게 다르게 찾아보는 방법이 없는지요..
>
/etc/profile 의 제일 밑줄에
# 아무런 작업이 없을 경우 30분후에 세션을 종료함
export TMOUT=1800
이와같이 초단위로 설정해 보세요.
>
>여쭈어 보는 김에 하나더 여쭈어 보겠습니다.
>아무래도 해킹당하는것 같은데 말이죠..
>요 근래.. 시스템이 이상해서.. 체크 도중에 보니.
>보통 가끔씩 nmap 으로 아래같이 포트 체크를 하곤 합니다.
>[root@mail log]# nmap localhost
>
>Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
>Interesting ports on localhost.localdomain (127.0.0.1):
>(The 1549 ports scanned but not shown below are in state: closed)
>Port State Service
>22/tcp open ssh
>25/tcp open smtp
>80/tcp open http
>110/tcp open pop-3
>3306/tcp open mysql
>
>위와 같이 정상적이 것이 가끔씩 아래와 같이 변하고 있습니다.
>[root@mail mail]# nmap localhost
>
>Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
>Interesting ports on localhost (203.210.200.140):
>
>/////
>$$$$위의 localhost IP가 203.210.200.140 이런씩으로 바뀌어서 조사되고 있습니다. 203.210.200.140 아이피를 조사해보면 베트남아이피 이고 저희회사랑
>아무상광없는데 nmap localhost 했을때 아이피가 203.210.200.140 나오면서
>포트 결과는 아래 같이 나옵니다.
>
>(The 1541 ports scanned but not shown below are in state: filtered)
>Port State Service
>20/tcp closed ftp-data
>21/tcp open ftp
>22/tcp closed ssh
>25/tcp open smtp
>37/tcp closed time
>53/tcp open domain
>110/tcp open pop-3
>113/tcp closed auth
>161/tcp closed snmp
>443/tcp open https
>3306/tcp closed mysql
>8080/tcp open http-proxy
>10000/tcp closed snet-sensor-mgmt
>
>
>또한 특정 포트만을 조사하면 .
>
>[root@mail mail]# nmap -p 22,25,80,110,3306,8080 localhost
>
>Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
>Interesting ports on localhost (203.210.200.140):
>(The 2 ports scanned but not shown below are in state: closed)
>Port State Service
>25/tcp open smtp
>80/tcp filtered http
>110/tcp open pop-3
>8080/tcp open http-proxy
>
>우와 같이 나오는데 80포트가 filtered 형태로 변해져 있는것을 확인할수있었습니다.
>
>그리고 몇시간 후에 다시 해보면 정사적인 nmap
>[root@mail log]# nmap localhost
>
>Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
>Interesting ports on localhost.localdomain (127.0.0.1):
>(The 1549 ports scanned but not shown below are in state: closed)
>Port State Service
>22/tcp open ssh
>25/tcp open smtp
>80/tcp open http
>110/tcp open pop-3
>3306/tcp open mysql
>형태로 나오고 있습니다. 물론 도메인으로 조사를 해봐도 같은 형상입니다.
>이런 형상이 있는 동안 log 를 조사중에 보니
>
> 11/09 (非常)
>root@mail log]# grep 203.210.200.140 /var/log/maillog | more
>Nov 10 09:40:02 mail NeoMailXfer[4286]: iAA0e1bI004286: from=<root@도메인>, size=1209, class=0, nrcpts=1, msgid=<200411082250.iA8MoBB2012992@도메인>, proto=ESMTP, daemon=Daemon0, relay=localhost [203.210.200.140]
>
>//위와 같이 root에게 가야할 메일이 [203.210.200.140] 로 보내진것을 알수있었습니다.
>
>
>보통은 아래같은 경우를 보면 정상적으로 localhost에 가는것인데요..
>11/04 rootメール (正常)
>Nov 4 05:00:00 mail NeoMailXfer[1946]: iA3K00bI001946: from=<root@도메인>, size=513, class=0, nrcpts=1, msgid=<200411032000.iA3K00jS001925@도메인>, proto=ESMTP, daemon=Daemon0, relay=localhost.localdomain [127.0.0.1]
>
>요 몇칠사이에는 다시 정상으로 돌아왔지만. 여러가지 체크 툴과 find 및 프로세스를 조사해봤지만 의심할만한 프로세스 라든지 백도어는 없는데..
>아마도 정신건강에 좋치 않았서..말이죠...
>
>산이님의 의견을 얻고자 합니다...
프로그램이 내부적으로 사용하는 경우도 있습니다.
(예를들어 센드메일 573(?) 포트 같은 경우)
그리고 203.210.200.140 이 IP 주소가 서버IP 주소라면 염려할 필요없습니다.
/var/log/messages 파일을 주기적으로 검사해보는 것이 오히려
더 정확할 수 도 있습니다. |