회사 네임서버가 레드햇 리눅스 9 이다.
네임서버에는 hosts.allow, hosts.deny 가 걸려 있고,
iptables 에서 몇몇 포트(53번, 22번 등)을 뺀 나머지는 다 걸러내구 있다.
흠.. 그런데.. 22번 포트가 문제였다.
이 구멍을 통해 우리 네임서버가 fising site 가 되 버렸다 ㅡㅡ;
/usr/include 디렉토리에 보니 못보던 파일들이 있다.
log.h 라는게 뭐지? 열어봤더니,
ssh 를 통해 들어온 계정들의 패스워드가 죄다 적혀있다.
허걱...
허미.. 잽싸게 다른 서버에 Linux 설치하고, 원래 서버 복구에 들어갔다.
그리고 새로 설치한 리눅스 서버에 iptables 로 C 클래스 중 울 회사 IP 대역만 열어놓구
시스템을 켰다..
음.. 다시 외부에서 들어온 흔적이 보인다..
/dev 디렉토리에 작업하네 ㅡㅡ;
범인은 회사내의 Informix 서버였다. MS-SQL 쓰니까.. 내버려 두고 있었더니, 이곳이 활동무대가 된듯 하다..
그래서 그 서버죽이고, ssh 도 죽이고 서버 다시 시작하니 잘 된다.
좀 써보다가 또 뚫으려고 하는 시도가 보이거나, 뚫렸을 때는 할수 없이
방화벽을 앞단에 세우고, 브릿지로 연결해서 쓰던지 해야겄다...
정말 골때리는거는... 아파치가 설치되어있으니까, 거기에 PHP 깔고... 서비스를 하더라는것이다.
대단한 넘들.....
'OS > LINUX' 카테고리의 다른 글
[펌] ssh brute-force 공격에 대한 설명과 대응 방법 (0) | 2006.02.02 |
---|---|
헛... 아파치에 이런게... 스팸어쌔신 (0) | 2005.11.02 |
[펌] [Linux] 아파치 가상호스트(Apache VirtualHost) 설정하기 (0) | 2005.08.24 |
[펌] [Linux] ProFTP 설치하기 (0) | 2005.08.24 |
[펌] [Linux] 네임서버(NameServer) 설정하기 (0) | 2005.08.24 |