목록
아래로
위로

서버 털릴뻔했습니다.

13
Kongjak
2018.01.19. 17:24
조회 수 2376

라즈베리파이 3로 팀 다운로드 서버로 쓰고 있습니다.

오늘 nginx access.log 열어봤는데 누군가 phpmyadmin으로 해킹 시도를 하더라고요.

다행히 주소를 특이하게 해논덕분에 털리지는 않았습니다.

54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
5.101.40.8 - - [19/Jan/2018:10:27:14 +0900] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 173 "-" "-"
60.191.52.254 - - [19/Jan/2018:11:04:56 +0900] "HEAD http://wap.ip138.com/ HTTP/1.1" 200 0 "-" "Java/1.8.0_77"
60.191.52.254 - - [19/Jan/2018:11:04:57 +0900] "\x05\x02\x00\x02" 400 173 "-" "-"
이게 해당로그입니다.

여기서 누군가 해킹하려하는구나 하고 ssh 접속 실패로그를 봤죠.

그리고 끔찍한걸 봤습니다.

서버를 13일날 만들었고 14일부터 오늘 새벽까지 접속시도를 하더군요.

아이피로 알아봤는데 지역도 미국, 프랑스, 포루투칼, 한국 등 다양합니다.

로그는 첨부파일로 올리겠습니다.

sshlog.txt

다행히 라즈베리파이 세팅할때 제일먼저 비번을 바꿔놔서 다행이지, 아니면 털릴뻔했습니다. (첫 시도 아이디가 pi더군요)

일단 iptables로 아이피를 막긴 막있는데 걱정이네요.

작성자

Kongjak 35 Lv. (25%) 99420/103680EXP

공작 커뮤니티 - https://kongjak.com

모니터

으어어어.. 그나저나 사이트가 심플하시네요...!!

2018.01.19. 17:31

"모니터님의 댓글"

이 댓글을 신고 하시겠습니까?

포인트 폭탄+ → 모니터

모니터님 축하합니다.
추가로 200포인트만큼 포인트 폭탄+를 받았습니다.

수정 삭제

2018.01.19. 17:31

"포인트 폭탄+님의 댓글"

이 댓글을 신고 하시겠습니까?

삭제

Kongjak 작성자 → 모니터

어떤 사이트요?

2018.01.19. 17:33

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

모니터 → Kongjak

공작님 사이트요..!! 헤헤

2018.01.20. 01:02

"모니터님의 댓글"

이 댓글을 신고 하시겠습니까?

Kongjak 작성자

163.172.169.150 - - [17/Jan/2018:12:26:31 +0900] "GET / HTTP/1.0" 200 612 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"

이런 로그도 있네요

2018.01.19. 17:33

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah

이럴때 fail2ban을 설치하는겁니다

2018.01.19. 18:52

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

Kongjak 작성자 → NoYeah

그래서 설치했습니다.

아주 좋아요!

2018.01.19. 19:48

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

humit

ㄷㄷㄷ.. 포트스캔까지....

잡으면 콩밥을 먹여주세요 ㅋㅋㅋㅋ

2018.01.19. 19:54

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

Kongjak 작성자 → humit

잡기 힘들듯합니다.

해외에요.

일단 방어는 할만큼 했습니다.

2018.01.19. 20:09

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

포인트 폭탄+ → Kongjak

공작님 축하합니다.
추가로 200포인트만큼 포인트 폭탄+를 받았습니다.

수정 삭제

2018.01.19. 20:09

"포인트 폭탄+님의 댓글"

이 댓글을 신고 하시겠습니까?

삭제

humit → Kongjak

그래도 털리지 않으셔서 다행이네요..

2018.01.19. 20:15

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

HyungJu

에구... 아주 그냥 PMA 찾을라고 바락을 하네요

저 IP는 분명히 프록시일테니 프록시 접속이나 GeoIP 로 해외 접속을 막으시는것도..

2018.01.20. 09:47

"HyungJu님의 댓글"

이 댓글을 신고 하시겠습니까?

JAVA

서버를 왜 공격하는걸까요?

2018.01.22. 11:29

"JAVA님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.

번호	제목	글쓴이	날짜	조회 수
공지	시스템 점검 작업 완료 안내 10	마스터	2일 전16:25	170
공지	[중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4	마스터	23.01.14.02:23	7255
공지	낚시성 불법도박 홍보 게시글을 주의하세요. 9	네모	22.08.09.18:13	2009
공지	슬기로운 포인트 벌이를 하는 법 (22.10.11 업데이트) 64	네모	18.06.17.20:25	16601
2349	음.... 카패 형 레이아웃 변동후 로고 제작 안하고잇다.. 2	핫슈	17.12.24.11:23	148
2348	다시 자체제작으로 가려고 합니다 8	Seia	17.11.16.01:31	148
2347	밤 추워요 ㅜ 3	핫슈	17.11.14.17:17	148
2346	마스터님! 6	에듀	17.10.26.14:07	148
2345	오랜만에 글 남겨보네요 ^^ 4	네오웨이브	17.10.25.18:15	148
2344	네 여러분 오사카인데요 -내일 출국 6	국내산라이츄	17.10.07.17:03	148
2343	뭔가...되게..빈곤.. 17	Ciel	17.09.24.11:49	148
2342	종강! 2	조리퐁	17.06.21.02:11	148
2341	스포어 유입 경로 2	맛수타	17.06.19.07:00	148
2340	아.. 사이트 등록을 해야 호스팅을 사용할 수 있나요.. 2	LuisK	17.06.16.12:35	148
2339	너무힘드네요. 2	대전댁	17.05.15.21:27	148
2338	왜 제다 전쟁뉴스인가요?	핫슈	17.04.10.21:11	148
2337	드디어 50 레벨 이네요. 6	하루살이	17.04.09.11:39	148
2336	이번에는 위키에 그라데이션을 집어넣어봤습니다. 6	Kongjak	17.03.03.22:38	148
2335	생존신고.. 8	어코	17.03.03.21:03	148
2334	이번에 나오는 암드 라이젠 기대되네요. 9	하루살이	17.02.15.14:47	148
2333	에듀 님께 ^^ 1	이니스프리	17.01.07.11:58	148
2332	어느덧 10만원으로 ~ 5	대전댁	17.01.01.23:44	148
2331	비오네오. 4	네오웨이브	16.11.18.20:12	148
2330	아직은 조정이 안됬나보네요.. 5	막시모	16.10.24.00:09	148

자유게시판

서버 털릴뻔했습니다.

작성자

Kongjak 35 Lv. (25%) 99420/103680EXP

댓글 13

신고

신고

삭제

신고

신고

신고

신고

신고

신고

신고

신고

삭제

신고

신고

신고

검색

스터디 최근글 [1/]

로그인

작성자 Kongjak 35 Lv. (25%) 99420/103680EXP

댓글 13

신고

신고

삭제

신고

신고

신고

신고

신고

신고

신고

신고

삭제

신고

신고

신고

검색

로그인

작성자

Kongjak 35 Lv. (25%) 99420/103680EXP