- 13
- Kongjak
- 조회 수 2411
라즈베리파이 3로 팀 다운로드 서버로 쓰고 있습니다.
오늘 nginx access.log 열어봤는데 누군가 phpmyadmin으로 해킹 시도를 하더라고요.
다행히 주소를 특이하게 해논덕분에 털리지는 않았습니다.
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
5.101.40.8 - - [19/Jan/2018:10:27:14 +0900] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 173 "-" "-"
60.191.52.254 - - [19/Jan/2018:11:04:56 +0900] "HEAD http://wap.ip138.com/ HTTP/1.1" 200 0 "-" "Java/1.8.0_77"
60.191.52.254 - - [19/Jan/2018:11:04:57 +0900] "\x05\x02\x00\x02" 400 173 "-" "-"
이게 해당로그입니다.
여기서 누군가 해킹하려하는구나 하고 ssh 접속 실패로그를 봤죠.
그리고 끔찍한걸 봤습니다.
서버를 13일날 만들었고 14일부터 오늘 새벽까지 접속시도를 하더군요.
아이피로 알아봤는데 지역도 미국, 프랑스, 포루투칼, 한국 등 다양합니다.
로그는 첨부파일로 올리겠습니다.
다행히 라즈베리파이 세팅할때 제일먼저 비번을 바꿔놔서 다행이지, 아니면 털릴뻔했습니다. (첫 시도 아이디가 pi더군요)
일단 iptables로 아이피를 막긴 막있는데 걱정이네요.
작성자
댓글 13
어떤 사이트요?
공작님 사이트요..!! 헤헤
163.172.169.150 - - [17/Jan/2018:12:26:31 +0900] "GET / HTTP/1.0" 200 612 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
이런 로그도 있네요
이럴때 fail2ban을 설치하는겁니다
그래서 설치했습니다.
아주 좋아요!
ㄷㄷㄷ.. 포트스캔까지....
잡으면 콩밥을 먹여주세요 ㅋㅋㅋㅋ
잡기 힘들듯합니다.
해외에요.
일단 방어는 할만큼 했습니다.
그래도 털리지 않으셔서 다행이네요..
에구... 아주 그냥 PMA 찾을라고 바락을 하네요
저 IP는 분명히 프록시일테니 프록시 접속이나 GeoIP 로 해외 접속을 막으시는것도..
서버를 왜 공격하는걸까요?
으어어어.. 그나저나 사이트가 심플하시네요...!!