목록
아래로
위로

서버 털릴뻔했습니다.

13
Kongjak
2018.01.19. 17:24
조회 수 2340

라즈베리파이 3로 팀 다운로드 서버로 쓰고 있습니다.

오늘 nginx access.log 열어봤는데 누군가 phpmyadmin으로 해킹 시도를 하더라고요.

다행히 주소를 특이하게 해논덕분에 털리지는 않았습니다.

54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
5.101.40.8 - - [19/Jan/2018:10:27:14 +0900] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 173 "-" "-"
60.191.52.254 - - [19/Jan/2018:11:04:56 +0900] "HEAD http://wap.ip138.com/ HTTP/1.1" 200 0 "-" "Java/1.8.0_77"
60.191.52.254 - - [19/Jan/2018:11:04:57 +0900] "\x05\x02\x00\x02" 400 173 "-" "-"
이게 해당로그입니다.

여기서 누군가 해킹하려하는구나 하고 ssh 접속 실패로그를 봤죠.

그리고 끔찍한걸 봤습니다.

서버를 13일날 만들었고 14일부터 오늘 새벽까지 접속시도를 하더군요.

아이피로 알아봤는데 지역도 미국, 프랑스, 포루투칼, 한국 등 다양합니다.

로그는 첨부파일로 올리겠습니다.

sshlog.txt

다행히 라즈베리파이 세팅할때 제일먼저 비번을 바꿔놔서 다행이지, 아니면 털릴뻔했습니다. (첫 시도 아이디가 pi더군요)

일단 iptables로 아이피를 막긴 막있는데 걱정이네요.

작성자

Kongjak 35 Lv. (25%) 99420/103680EXP

공작 커뮤니티 - https://kongjak.com

모니터

으어어어.. 그나저나 사이트가 심플하시네요...!!

2018.01.19. 17:31

"모니터님의 댓글"

이 댓글을 신고 하시겠습니까?

포인트 폭탄+ → 모니터

모니터님 축하합니다.
추가로 200포인트만큼 포인트 폭탄+를 받았습니다.

수정 삭제

2018.01.19. 17:31

"포인트 폭탄+님의 댓글"

이 댓글을 신고 하시겠습니까?

삭제

Kongjak 작성자 → 모니터

어떤 사이트요?

2018.01.19. 17:33

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

모니터 → Kongjak

공작님 사이트요..!! 헤헤

2018.01.20. 01:02

"모니터님의 댓글"

이 댓글을 신고 하시겠습니까?

Kongjak 작성자

163.172.169.150 - - [17/Jan/2018:12:26:31 +0900] "GET / HTTP/1.0" 200 612 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"

이런 로그도 있네요

2018.01.19. 17:33

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah

이럴때 fail2ban을 설치하는겁니다

2018.01.19. 18:52

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

Kongjak 작성자 → NoYeah

그래서 설치했습니다.

아주 좋아요!

2018.01.19. 19:48

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

humit

ㄷㄷㄷ.. 포트스캔까지....

잡으면 콩밥을 먹여주세요 ㅋㅋㅋㅋ

2018.01.19. 19:54

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

Kongjak 작성자 → humit

잡기 힘들듯합니다.

해외에요.

일단 방어는 할만큼 했습니다.

2018.01.19. 20:09

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

포인트 폭탄+ → Kongjak

공작님 축하합니다.
추가로 200포인트만큼 포인트 폭탄+를 받았습니다.

수정 삭제

2018.01.19. 20:09

"포인트 폭탄+님의 댓글"

이 댓글을 신고 하시겠습니까?

삭제

humit → Kongjak

그래도 털리지 않으셔서 다행이네요..

2018.01.19. 20:15

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

HyungJu

에구... 아주 그냥 PMA 찾을라고 바락을 하네요

저 IP는 분명히 프록시일테니 프록시 접속이나 GeoIP 로 해외 접속을 막으시는것도..

2018.01.20. 09:47

"HyungJu님의 댓글"

이 댓글을 신고 하시겠습니까?

JAVA

서버를 왜 공격하는걸까요?

2018.01.22. 11:29

"JAVA님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.

번호	제목	글쓴이	날짜	조회 수
공지	[작업 완료] 설 명절 맞이 서버 업데이트 안내 3	마스터	24.02.11.17:21	966
공지	[중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4	마스터	23.01.14.02:23	4642
공지	낚시성 불법도박 홍보 게시글을 주의하세요. 9	네모	22.08.09.18:13	479
공지	슬기로운 포인트 벌이를 하는 법 (22.10.11 업데이트) 64	네모	18.06.17.20:25	15388
6501	새해복만땅받으세요~~~~~^^ 4	호랑이	21.02.10.23:04	45
6500	미디어위키 운영하다가 용량 적어져서 16000포인트 질렀네요 1	wikiowner	21.03.13.10:58	45
6499	새해 복 많이 받으세요 4	하이빅스비	22.12.31.21:59	45
6498	블로그 단순 배너 완료	핫슈	20.06.14.18:57	46
6497	드뎌 압축풀엇다.	핫슈	20.06.16.21:49	46
6496	용인도 차량이 막히내요	핫슈	20.09.23.19:43	46
6495	서비스 장애 발생한 듯합니다. 1	HighSpeed	21.01.15.20:31	46
6494	유머게시판에 재밌는 짤 남기고 갑니다~^^ 1	민트초코조아..	21.01.17.15:06	46
6493	눈이 옵니다. 1	국내산라이츄	21.01.18.05:18	46
6492	목아파서 .. 거치대 주문하엿다. 1	핫슈	20.07.01.20:05	47
6491	안녕하세요 6	미미마우스	20.12.22.15:07	47
6490	윈도우 10 인사이더 프리뷰 버그가 장난이 아니네요. 1	HighSpeed	21.01.14.17:07	47
6489	설문지나 뭐 그런거 만들때 쓰기 좋을듯합니다 3	wikiowner	21.01.29.22:28	47
6488	설 연휴 마지막이 그 날입니다. 2	국내산라이츄	21.02.05.03:32	47
6487	안녕하세요! 방금 회원가입 했습니다. 6	파이리	21.02.07.18:44	47
6486	와 가위바위보 5연속 패 ㅋㅋㅋㅋㅋ 이것도 능력인가 봅니다	그라페인	21.03.12.22:13	47
6485	2020년도 이제 곧 끝나네요. 2	슬기	20.12.30.14:05	48
6484	또 연속 출석 놓졌네요 2	출사로	21.02.15.10:41	48
6483	양놈들의 낚시는 대체 어디까지인가...	국내산라이츄	21.03.03.22:21	48
6482	포인트 모으기 도전합니다! 2	wikiowner	21.01.16.10:22	49

자유게시판

서버 털릴뻔했습니다.

작성자

Kongjak 35 Lv. (25%) 99420/103680EXP

댓글 13

신고

신고

삭제

신고

신고

신고

신고

신고

신고

신고

신고

삭제

신고

신고

신고

검색

스터디 최근글 [1/]

로그인

작성자 Kongjak 35 Lv. (25%) 99420/103680EXP

댓글 13

신고

신고

삭제

신고

신고

신고

신고

신고

신고

신고

신고

삭제

신고

신고

신고

검색

로그인

작성자

Kongjak 35 Lv. (25%) 99420/103680EXP