sun's longitude:242 19 25.24 
· 자유게시판 · 묻고답하기 · 알파문서 · RPMS list
· 사용자문서 · 팁/FAQ모음 · 리눅스Links · 자료실
· 서버정보 · 운영자 · Books/FAQ · FreeBSD
/board/read.php:소스보기  

질문과 답변 게시판입니다.

현재 실시간으로 이곳 서버의 설정파일(몇개)를 보여주고 있습니다.
서버의 설정내용에 관한 질문은 먼저 이곳 서버의 설정내용을 참고하시길 바랍니다.

[*** 쓰기 금지단어 패턴 ***]
글 본문 중간에 업로드할 이미지를 추가하는 방법 : @@이미지이름@@
ex) @@foo.gif@@
2210 번 글: finger 에 대해서
글쓴이: 이현철 글쓴날: 2004년 11월 15일 19:33:23 월(저녁) 조회: 1369
-----------------------------------------
답변자가 기본적으로 참고할 내용입니다.
- 배포판(옵션)    : 
- 커널버전(옵션)
  : 
- 데몬버전(예:apache
 1.3.27) : 
- 데몬설치유형(RPM/컴파일/기타)
 : 
-----------------------------------------
 하나 여쭈어 볼려고 합니다
서버에 몇칠전부터 접속해 있는 사용자를 조사해보면
[test-mgr@mail ]$ finger
Login     Name       Tty      Idle  Login Time   Office     Office Phone
test-mgr             pts/1          Nov 15 13:15 (xxx.xxx.xxx.xxx -- 제가
접속해 있는 아이피)
test-mgr            *pts/6    319d  Nov 11 16:43 (xxx.xxx.xxx.xxx --제가 접속해
있는 아이피)

그런데 pts/6을 보면 엄청 오랜시간동안 접속 된것같은데 저
말고 접속한 사람이 없는데 말이죠.
root@mail ]# ps -ef |grep  pts*
test-mgr 21970 21953  0 13:15 pts/1    00:00:00 -bash
test-mgr 22007 21970  0 13:16 pts/1    00:00:00 bash
root      8555 22007  0 19:16 pts/1    00:00:00 su
root      8562  8555  0 19:16 pts/1    00:00:00 bash
root      9514  8562  0 19:18 pts/1    00:00:00 ps -ef
root      9515  8562  0 19:18 pts/1    00:00:00 grep pts*
[root@mail ]# ps -ef |grep  pts/6
root      9487  8562  0 19:18 pts/1    00:00:00 grep pts/6

위처럼 pst/6 를 통한 터미널 접속 데몬이 없는데 말이죠..
단순한 finger 명령어 오류일까요.. 뭐 운영중인 서버를
리부팅하기도 그렇고..해서...
 어떻게 다르게 찾아보는 방법이 없는지요..


여쭈어 보는 김에 하나더 여쭈어 보겠습니다.
아무래도 해킹당하는것 같은데 말이죠..
요 근래.. 시스템이 이상해서.. 체크 도중에 보니.
보통 가끔씩 nmap 으로 아래같이 포트 체크를 하곤 합니다.
[root@mail log]# nmap localhost

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1549 ports scanned but not shown below are in state: closed)
Port       State       Service
22/tcp     open        ssh
25/tcp     open        smtp
80/tcp     open        http
110/tcp    open        pop-3
3306/tcp   open        mysql

위와 같이 정상적이 것이 가끔씩 아래와 같이 변하고
있습니다.
[root@mail mail]# nmap localhost

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on localhost (203.210.200.140):

/////
$$$$위의 localhost IP가 203.210.200.140 이런씩으로 바뀌어서 조사되고
있습니다. 203.210.200.140 아이피를 조사해보면 베트남아이피 이고
저희회사랑 
아무상광없는데
 nmap localhost 했을때 아이피가 203.210.200.140 나오면서
포트 결과는 아래 같이 나옵니다.

(The 1541 ports scanned but not shown below are in state: filtered)
Port       State       Service
20/tcp     closed      ftp-data
21/tcp     open        ftp
22/tcp     closed      ssh
25/tcp     open        smtp
37/tcp     closed      time
53/tcp     open        domain
110/tcp    open        pop-3
113/tcp    closed      auth
161/tcp    closed      snmp
443/tcp    open        https
3306/tcp   closed      mysql
8080/tcp   open        http-proxy
10000/tcp  closed      snet-sensor-mgmt


또한 특정 포트만을 조사하면 .

[root@mail mail]# nmap -p 22,25,80,110,3306,8080 localhost

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on localhost (203.210.200.140):
(The 2 ports scanned but not shown below are in state: closed)
Port       State       Service
25/tcp     open        smtp
80/tcp     filtered    http
110/tcp    open        pop-3
8080/tcp   open        http-proxy

우와 같이 나오는데 80포트가 filtered 형태로 변해져 있는것을
확인할수있었습니다.


그리고 몇시간 후에 다시 해보면 정사적인 nmap 
[root@mail log]# nmap localhost

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1549 ports scanned but not shown below are in state: closed)
Port       State       Service
22/tcp     open        ssh
25/tcp     open        smtp
80/tcp     open        http
110/tcp    open        pop-3
3306/tcp   open        mysql
형태로 나오고 있습니다. 물론 도메인으로 조사를 해봐도 같은
형상입니다.
이런 형상이 있는 동안 log 를 조사중에 보니

 11/09 (非常)

root@mail log]# grep 203.210.200.140 /var/log/maillog | more
Nov 10 09:40:02 mail NeoMailXfer[4286]: iAA0e1bI004286: from=<root@도메인>,
 size=1209, class=0, nrcpts=1, msgid=<200411082250.iA8MoBB2012992@도메인>,
 proto=ESMTP, daemon=Daemon0, relay=localhost [203.210.200.140]

//위와 같이 root에게 가야할 메일이 [203.210.200.140] 로 보내진것을
알수있었습니다.



보통은 아래같은 경우를 보면 정상적으로 localhost에
가는것인데요..

11/04    rootメール (正常)

Nov  4 05:00:00 mail NeoMailXfer[1946]: iA3K00bI001946: from=<root@도메인>,
 size=513, class=0, nrcpts=1, msgid=<200411032000.iA3K00jS001925@도메인>,
 proto=ESMTP, daemon=Daemon0, relay=localhost.localdomain [127.0.0.1]

요 몇칠사이에는 다시 정상으로 돌아왔지만. 여러가지 체크
툴과 find 및 프로세스를 조사해봤지만 의심할만한 프로세스
라든지 백도어는 없는데..
아마도 정신건강에 좋치 않았서..말이죠...


산이님의 의견을 얻고자 합니다...

 
이전글 : Re: 2200질문 이어서 드려요~~
다음글 : Re: finger 에 대해서  
 from 210.238.198.62
JS(Redhands)Board 0.4 +@

Re: 2200질문 이어서 드려요~~ Re: finger 에 대해서
인쇄용 


apache lighttpd linuxchannel.net 
Copyright 1997-2024. linuxchannel.net. All rights reserved.

Page loading: 0.01(server) + (network) + (browser) seconds