시스템(리눅스)에서 root에게 보내는 메일함을 열어보면, LogWatch라는 것이 있다. 하루하루 시스템의 간략한 로그를 보여주는것. 보통은 mail함 열기구찮아 걍 지나치다가,,, 함 주욱 읽어봤다.
의외로... 내 서버에 비정상적인 접속을 시도하는 무리들이 많더만.
10월 8일자 LogWatch 로그중 일부 pam_unix부분..
[CODE]
################### LogWatch 4.3.1 (01/13/03) ####################
Processing Initiated: Fri Oct 8 04:02:04 2004
Date Range Processed: yesterday
Detail Level of Output: 0
Logfiles for Host: bioinfo.sarang.net
################################################################
--------------------- pam_unix Begin ------------------------
su:
Sessions Opened:
(uid=0) -> news: 1 Time(s)
sshd:
Authentication Failures:
operator (zux006-003-182.adsl.green.ch ): 1 Time(s)
mysql (212.160.105.142 ): 1 Time(s)
root (61.66.193.155 ): 59 Time(s)
nobody (zux006-003-182.adsl.green.ch ): 1 Time(s)
root (212.160.105.142 ): 59 Time(s)
apache (zux006-003-182.adsl.green.ch ): 1 Time(s)
operator (212.160.105.142 ): 1 Time(s)
apache (61.66.193.155 ): 1 Time(s)
root (zux006-003-182.adsl.green.ch ): 59 Time(s)
root (218.30.21.236 ): 3 Time(s)
adm (212.160.105.142 ): 2 Time(s)
mysql (zux006-003-182.adsl.green.ch ): 1 Time(s)
apache (212.160.105.142 ): 1 Time(s)
mysql (61.66.193.155 ): 1 Time(s)
adm (zux006-003-182.adsl.green.ch ): 2 Time(s)
adm (61.66.193.155 ): 2 Time(s)
nobody (61.66.193.155 ): 1 Time(s)
operator (61.66.193.155 ): 1 Time(s)
nobody (212.160.105.142 ): 1 Time(s)
---------------------- pam_unix End -------------------------
[/CODE]
mysql, adm, nobody등의 비교적 잘 관리하지는 않으나, 보통 시스템마다는 갖고 있는 유저를 이용해서 SSH 접근을 시도한다. 어떤경우에는 john, smith 등의 이름들을 이용하기도...
만일 그 유저들에 대해 유추되기 쉬운 암호가 설정되어있을경우(1234, abc, 아이디랑 같은것 등) 그대로 뚫린다는 얘기. 만일 서버관리자의 1%정도가 유추되기쉬운 유저암호를 그냥 쓰고 있다고 가정한다면, 접속시도자가 약 만개의 서버에 대해 스크립트로 무작위적으로 접속을 시도할경우, 통계적으로 볼때, 100개의 서버는 뚫린다는 얘기가 된다. 유저암호알려지면, 루트따내는건 시간문제다.
생각난김에, 일반유저암호들 다시 점검~
그러나,,, 내 서버가 이미 뚫렸을 수도 있다는 가정도 가능하다. 볼꺼 다 보고, 로그 다 지우고,,, 가끔씩 들르면서 비웃고 있을지도 모른다. 그가 내 시스템을 안 망가뜨리고 있다는 사실에 고마워해야할지도...
Trackback Address :: http://yong27.biohackers.net/trackback/105
