리눅스 보안침해 사례

MintheWiki

Jump to: navigation, 찾기

그림:information.gif

개인 리눅스 서버를 운영하면서 발생했던 보안침해 관련 사례를 로깅해 본다

목차

기본 보안 룰

  • public service 를 제외한 모든 inbound 패킷 iptables를 통해 차단 필터링
  • public service 내역 
dns,ssh,http
  • private service는 특정 IP만 접근가능하도록 차단 필터링 
vnc,ftp,svn
  • 기타 보안침해 시도IP는 해당 IP의 C class 대역 차단 필터링


Logwatch httpd probed the server

  • 65.55.212.191 : ms live search 로 부터의 접근이며 한글문자열이 url encoding 되어 발생한 내용으로 추정 
 A total of 2 possible successful probes were detected (the following URLs  contain strings that match one or more of a listing of strings that  indicate a possible exploit):
 
    /entry/MediaWiki-\xea\xb4\x80\xeb\xa0\xa8-\xeb\xa7\x81\xed\x81\xac-\xec\xa0\x95\xeb\xa6\xac HTTP Response 200 
    /entry/eAccelerator\xec\x84\xa4\xec\xb9\x98\xec\x99\x80-PHP-\xec\x84\xb1\xeb\x8a\xa5-\xed\x96\xa5\xec\x83\x81-\xeb\xb6\x84\xec\x84\x9d HTTP Response 200

Logwatch 400 Bad Request

DNS 혼란에 의한 잘못된 접근인지, 해킹시도인지 불분명 하지만 reverse connection 이 의심되어 서버의 output packet filtering 및 접근시도 C class 대역 차단 

POST http://69.61.54.154 /post.php HTTP/1.1 시도
접근IP:77.70.106.4

GET http://193.200.51.235 /abc.php?auth=45V456b09m&strPassword=WSMWVV_FJB%5CUDV&nLoginId=43 HTTP/1.1
접근IP:193.200.51.235

Logwatch Named 항목

  • 149.20.52.181 
 **Unmatched Entries**
    client 149.20.52.181 notify question section contains no SOA: 1 Time(s)
    stopping command channel on ::1#953: 3 Time(s)
원본 주소 ‘http://wiki.songks.net/%EB%A6%AC%EB%88%85%EC%8A%A4_%EB%B3%B4%EC%95%88%EC%B9%A8%ED%95%B4_%EC%82%AC%EB%A1%80