/해킹시도로그

2006-1-16

자기 전에 별 생각 없이, 새로 설치된 서버의 로그 파일이나 잠깐 구경할까 했다가 화들짝 놀랐던 겁니다.

/var/log/secure 파일의 내용 중 일부:

(정상적인 내용들 생략)
(이하 abc.com과 11.11.11.11 은 이 홈페이지가 있는 서버의 도메인네임과 아이피주소를 가명처리한 것)
Jan 15 23:52:45 host90 proftpd[27825]: abc.com (200.88.54.85[200.88.54.85]) - SECURITY VIOLATION: root login attempted.
Jan 15 23:52:45 host90 proftpd[27826]: abc.com (200.88.54.85[200.88.54.85]) - SECURITY VIOLATION: root login attempted.
Jan 15 23:52:47 host90 proftpd[27827]: abc.com (200.88.54.85[200.88.54.85]) - SECURITY VIOLATION: root login attempted.
Jan 15 23:52:47 host90 proftpd[27828]: abc.com (200.88.54.85[200.88.54.85]) - SECURITY VIOLATION: root login attempted.
...
Jan 15 23:54:07 host90 proftpd[27929]: abc.com (200.88.54.85[200.88.54.85]) - SECURITY VIOLATION: root login attempted.
Jan 15 23:54:07 host90 proftpd[27930]: abc.com (200.88.54.85[200.88.54.85]) - SECURITY VIOLATION: root login attempted.
(여기까지 96번 반복)
Jan 15 23:54:10 host90 proftpd[27931]: abc.com (200.88.54.85[200.88.54.85]) - USER username: no such user found from 200.88.54.85 [200.88.54.85] to 11.11.11.11:21
Jan 15 23:54:10 host90 proftpd[27932]: abc.com (200.88.54.85[200.88.54.85]) - USER asdf: no such user found from 200.88.54.85 [200.88.54.85] to 11.11.11.11:21
Jan 15 23:54:10 host90 proftpd[27933]: abc.com (200.88.54.85[200.88.54.85]) - USER james: no such user found from 200.88.54.85 [200.88.54.85] to 11.11.11.11:21
Jan 15 23:54:12 host90 proftpd[27934]: abc.com (200.88.54.85[200.88.54.85]) - USER asdf: no such user found from 200.88.54.85 [200.88.54.85] to 11.11.11.11:21
Jan 15 23:54:12 host90 proftpd[27935]: abc.com (200.88.54.85[200.88.54.85]) - USER qwerty: no such user found from 200.88.54.85 [200.88.54.85] to 11.11.11.11:21
...
Jan 16 00:59:36 host90 proftpd[3364]: abc.com (200.88.54.85[200.88.54.85]) - USER aneisa: no such user found from 200.88.54.85 [200.88.54.85] to 11.11.11.11:21
Jan 16 00:59:37 host90 proftpd[3365]: abc.com (200.88.54.85[200.88.54.85]) - USER angeline: no such user found from 200.88.54.85 [200.88.54.85] to 11.11.11.11:21
Jan 16 00:59:37 host90 proftpd[3366]: abc.com (200.88.54.85[200.88.54.85]) - USER angelique: no such user found from 200.88.54.85 [200.88.54.85] to 11.11.11.11:21
Jan 16 00:59:39 host90 proftpd[3367]: abc.com (200.88.54.85[200.88.54.85]) - USER angella: no such user found from 200.88.54.85 [200.88.54.85] to 11.11.11.11:21
(여기까지 4157번 반복)

밤 11:50 경부터, 이 서버에 ftp 접속을 시도해서, root로 접속 시도를 96번 하고, 그 다음은 온갖 아이디를 동원해 가면서 접속을 시도하다가 새벽 1시쯤 포기하고 갔군요. 시도했던 아이디는 거의가 사람 이름이고, username, stuff, forum 등도 보이고, asdf 도 있습니다. 가끔 가다가 실제 이 서버에 있는 아이디도 나오긴 했습니다. Danny군, 딱 걸렸스~ :-) raymundo는 없었으나 raymond는 있고, 마눌님의 세례명인 miriam도 있고, 기타 등등...

존재하는 아이디를 찾은 경우에도 곧바로 다음 아이디로 넘어가 버린 걸로 봐서, 그냥 아이디와 패스워드를 동일하게 한 경우를 노린 게 아닌가 추측됩니다. (아마도 저런 일을 자동으로 해 주는 프로그램이 따로 인터넷에 올려져 있겠지요) 만일 이 서버 사용자 중에 그렇게 아이디와 패스워드를 똑같이 해놓고 쓰는 사람이 있었다면 해킹복구 며칠 만에 또 한 번 뒤집어질 뻔 했군요.

아이피를 보니 도미니카 공화국인 것 같은데, 뭐 볼 것도 없는 서버에 와가지고 사람 심란하게 만들고 지X이야 X랄이... 그렇잖아도 요 며칠 심란했구먼.

(잡아다가 이 도장을 찍어주고 싶어요)

암튼, 참으로 살벌한 세상에 살고 있었음을 실감하는 순간입니다. 저 IP에 역으로 혼쭐을 내 줄 방법이 뭐 없을까요?

---

• Nyxity : 일찍 주무세요 - 2006-1-16 2:44 am
• 뷁자씨 : 역으로 하다가 좀 문제가 생기지 않을까요? - 2006-1-16 2:56 am
• 뷁자씨 : LACNIC에 문의하니 이 아이피 소유자 이름이랑 전화번호 뜨네요(진짜인지는 모르지만) - 2006-1-16 3:01 am
• Raymundo : Nyxity/ ^^; 위 글 쓰고 바로 잤습니다. 제가 더 먼저 잤지 싶은데요? ;-) - 2006-1-16 8:15 am
• Raymundo : 뷁자씨/ 안녕하세요, 저 소유자는 ISP거나 회사의 전산 담당이지 실제 그 아이피를 사용하는 사람이 아닐 거라고 생각하고 있습니다. (뭐 대부분의 경우가 그렇죠.) 이런 경우 저 사람에게 항의를 대신 하면 얼마나 잘 처리해 줄 지 모르겠네요. 한 번 해볼까 싶기도 하고... - 2006-1-16 8:17 am
• Nyxity : 그런듯 하네요. 에휴 졸려라. - 2006-1-16 9:02 am
• 현정 : 저 도장 참 재밌다.. 울 반 애들 중에 몇 명에게 찍어주고파... - 2006-1-17 2:27 am
• Raymundo : 현정/ 앗, 안 자고 있었구나, 니네 남편하고 할 얘기가 있어서 12시쯤에 문자를 보냈는데 답장이 없어서 자는가 싶었는데... - 2006-1-17 2:33 am
• Canday : 아침 9시쯤에 rss피드하는데 안 되길래 보니까 Raymundo님 위키가 안 열렸어요. 다시 해킹 당한 것인가 걱정했어요. - 2006-1-17 11:48 am
• Raymundo : Canday/ 들켰군요. :-) 사실은 지금도 서버에 문제가 좀 있는 상태입니다. 원인 파악 중이지요. - 2006-1-17 12:31 pm
• 가루 : 안녕하세요 주인어르신 :D 가루라는 아이디를 만들었는데 접속이 안되네요-_-;; 지워주시면 다시 만들고 자주 놀러올게요~ - 2006-1-17 11:47 pm
• Raymundo : 가루/ 안녕하세요, 지웠으니 다시 만들어 보세요~ :-) - 2006-1-18 1:17 am

이름:  

Homepage:

내용: