-----------------------------------------
답변자가 기본적으로 참고할 내용입니다.
- 배포판(옵션) :
- 커널버전(옵션)
:
- 데몬버전(예:apache
1.3.27) :
- 데몬설치유형(RPM/컴파일/기타)
:
-----------------------------------------
하나 여쭈어 볼려고 합니다
서버에 몇칠전부터 접속해 있는 사용자를 조사해보면
[test-mgr@mail ]$ finger
Login Name Tty Idle Login Time Office Office Phone
test-mgr pts/1 Nov 15 13:15 (xxx.xxx.xxx.xxx -- 제가
접속해 있는 아이피)
test-mgr *pts/6 319d Nov 11 16:43 (xxx.xxx.xxx.xxx --제가 접속해
있는 아이피)
그런데 pts/6을 보면 엄청 오랜시간동안 접속 된것같은데 저
말고 접속한 사람이 없는데 말이죠.
root@mail ]# ps -ef |grep pts*
test-mgr 21970 21953 0 13:15 pts/1 00:00:00 -bash
test-mgr 22007 21970 0 13:16 pts/1 00:00:00 bash
root 8555 22007 0 19:16 pts/1 00:00:00 su
root 8562 8555 0 19:16 pts/1 00:00:00 bash
root 9514 8562 0 19:18 pts/1 00:00:00 ps -ef
root 9515 8562 0 19:18 pts/1 00:00:00 grep pts*
[root@mail ]# ps -ef |grep pts/6
root 9487 8562 0 19:18 pts/1 00:00:00 grep pts/6
위처럼 pst/6 를 통한 터미널 접속 데몬이 없는데 말이죠..
단순한 finger 명령어 오류일까요.. 뭐 운영중인 서버를
리부팅하기도 그렇고..해서...
어떻게 다르게 찾아보는 방법이 없는지요..
여쭈어 보는 김에 하나더 여쭈어 보겠습니다.
아무래도 해킹당하는것 같은데 말이죠..
요 근래.. 시스템이 이상해서.. 체크 도중에 보니.
보통 가끔씩 nmap 으로 아래같이 포트 체크를 하곤 합니다.
[root@mail log]# nmap localhost
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1549 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop-3
3306/tcp open mysql
위와 같이 정상적이 것이 가끔씩 아래와 같이 변하고
있습니다.
[root@mail mail]# nmap localhost
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on localhost (203.210.200.140):
/////
$$$$위의 localhost IP가 203.210.200.140 이런씩으로 바뀌어서 조사되고
있습니다. 203.210.200.140 아이피를 조사해보면 베트남아이피 이고
저희회사랑
아무상광없는데
nmap localhost 했을때 아이피가 203.210.200.140 나오면서
포트 결과는 아래 같이 나옵니다.
(The 1541 ports scanned but not shown below are in state: filtered)
Port State Service
20/tcp closed ftp-data
21/tcp open ftp
22/tcp closed ssh
25/tcp open smtp
37/tcp closed time
53/tcp open domain
110/tcp open pop-3
113/tcp closed auth
161/tcp closed snmp
443/tcp open https
3306/tcp closed mysql
8080/tcp open http-proxy
10000/tcp closed snet-sensor-mgmt
또한 특정 포트만을 조사하면 .
[root@mail mail]# nmap -p 22,25,80,110,3306,8080 localhost
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on localhost (203.210.200.140):
(The 2 ports scanned but not shown below are in state: closed)
Port State Service
25/tcp open smtp
80/tcp filtered http
110/tcp open pop-3
8080/tcp open http-proxy
우와 같이 나오는데 80포트가 filtered 형태로 변해져 있는것을
확인할수있었습니다.
그리고 몇시간 후에 다시 해보면 정사적인 nmap
[root@mail log]# nmap localhost
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1549 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop-3
3306/tcp open mysql
형태로 나오고 있습니다. 물론 도메인으로 조사를 해봐도 같은
형상입니다.
이런 형상이 있는 동안 log 를 조사중에 보니
11/09 (非常)
root@mail log]# grep 203.210.200.140 /var/log/maillog | more
Nov 10 09:40:02 mail NeoMailXfer[4286]: iAA0e1bI004286: from=<root@도메인>,
size=1209, class=0, nrcpts=1, msgid=<200411082250.iA8MoBB2012992@도메인>,
proto=ESMTP, daemon=Daemon0, relay=localhost [203.210.200.140]
//위와 같이 root에게 가야할 메일이 [203.210.200.140] 로 보내진것을
알수있었습니다.
보통은 아래같은 경우를 보면 정상적으로 localhost에
가는것인데요..
11/04 rootメール (正常)
Nov 4 05:00:00 mail NeoMailXfer[1946]: iA3K00bI001946: from=<root@도메인>,
size=513, class=0, nrcpts=1, msgid=<200411032000.iA3K00jS001925@도메인>,
proto=ESMTP, daemon=Daemon0, relay=localhost.localdomain [127.0.0.1]
요 몇칠사이에는 다시 정상으로 돌아왔지만. 여러가지 체크
툴과 find 및 프로세스를 조사해봤지만 의심할만한 프로세스
라든지 백도어는 없는데..
아마도 정신건강에 좋치 않았서..말이죠...
산이님의 의견을 얻고자 합니다...
|
sun's longitude:242 26 26.11
/board/read.php:소스보기 
