• 목록
  • 아래로
  • 위로
  • 13
  • Kongjak
  • 조회 수 2406

라즈베리파이 3로 팀 다운로드 서버로 쓰고 있습니다.

오늘 nginx access.log 열어봤는데 누군가 phpmyadmin으로 해킹 시도를 하더라고요.

다행히 주소를 특이하게 해논덕분에 털리지는 않았습니다.

54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
5.101.40.8 - - [19/Jan/2018:10:27:14 +0900] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 173 "-" "-"
60.191.52.254 - - [19/Jan/2018:11:04:56 +0900] "HEAD http://wap.ip138.com/ HTTP/1.1" 200 0 "-" "Java/1.8.0_77"
60.191.52.254 - - [19/Jan/2018:11:04:57 +0900] "\x05\x02\x00\x02" 400 173 "-" "-"
이게 해당로그입니다.

여기서 누군가 해킹하려하는구나 하고 ssh 접속 실패로그를 봤죠.

그리고 끔찍한걸 봤습니다.

서버를 13일날 만들었고 14일부터 오늘 새벽까지 접속시도를 하더군요.

아이피로 알아봤는데 지역도 미국, 프랑스, 포루투칼, 한국 등 다양합니다.

로그는 첨부파일로 올리겠습니다.

sshlog.txt

다행히 라즈베리파이 세팅할때 제일먼저 비번을 바꿔놔서 다행이지, 아니면 털릴뻔했습니다. (첫 시도 아이디가 pi더군요)

일단 iptables로 아이피를 막긴 막있는데 걱정이네요.

작성자
Kongjak 35 Lv. (25%) 99420/103680EXP

공작 커뮤니티 - https://kongjak.com

댓글 13

모니터
profile image

으어어어.. 그나저나 사이트가 심플하시네요...!!

comment menu
2018.01.19. 17:31

신고

"모니터님의 댓글"

이 댓글을 신고 하시겠습니까?

포인트 폭탄+ → 모니터
모니터님 축하합니다.
추가로 200포인트만큼 포인트 폭탄+를 받았습니다.
comment menu
2018.01.19. 17:31

신고

"포인트 폭탄+님의 댓글"

이 댓글을 신고 하시겠습니까?

삭제

"포인트 폭탄+님의 댓글"

이 댓글을 삭제하시겠습니까?

Kongjak 작성자 → 모니터
profile image

어떤 사이트요?

comment menu
2018.01.19. 17:33

신고

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

모니터 → Kongjak
profile image

공작님 사이트요..!! 헤헤

comment menu
2018.01.20. 01:02

신고

"모니터님의 댓글"

이 댓글을 신고 하시겠습니까?

Kongjak 작성자
profile image

163.172.169.150 - - [17/Jan/2018:12:26:31 +0900] "GET / HTTP/1.0" 200 612 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"

이런 로그도 있네요

comment menu
2018.01.19. 17:33

신고

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah
profile image

이럴때 fail2ban을 설치하는겁니다

comment menu
2018.01.19. 18:52

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

Kongjak 작성자 → NoYeah
profile image

그래서 설치했습니다.

아주 좋아요!

comment menu
2018.01.19. 19:48

신고

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

title: 황금 서버 (30일)humit
profile image

ㄷㄷㄷ.. 포트스캔까지....

잡으면 콩밥을 먹여주세요 ㅋㅋㅋㅋ

comment menu
2018.01.19. 19:54

신고

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

Kongjak 작성자 → humit
profile image

잡기 힘들듯합니다.

해외에요.

일단 방어는 할만큼 했습니다.

comment menu
2018.01.19. 20:09

신고

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

포인트 폭탄+ → Kongjak
공작님 축하합니다.
추가로 200포인트만큼 포인트 폭탄+를 받았습니다.
comment menu
2018.01.19. 20:09

신고

"포인트 폭탄+님의 댓글"

이 댓글을 신고 하시겠습니까?

삭제

"포인트 폭탄+님의 댓글"

이 댓글을 삭제하시겠습니까?

title: 황금 서버 (30일)humit → Kongjak
profile image

그래도 털리지 않으셔서 다행이네요..

comment menu
2018.01.19. 20:15

신고

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

HyungJu

에구... 아주 그냥 PMA 찾을라고 바락을 하네요

저 IP는 분명히 프록시일테니 프록시 접속이나 GeoIP 로 해외 접속을 막으시는것도..

comment menu
2018.01.20. 09:47

신고

"HyungJu님의 댓글"

이 댓글을 신고 하시겠습니까?

JAVA
profile image

서버를 왜 공격하는걸까요?

comment menu
2018.01.22. 11:29

신고

"JAVA님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.
번호 제목 글쓴이 날짜 조회 수
공지 시스템 점검 작업 완료 안내 10 마스터 마스터 24.09.05.16:25 2169
공지 [중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4 마스터 마스터 23.01.14.02:23 9010
공지 낚시성 불법도박 홍보 게시글을 주의하세요. 9 image 네모 네모 22.08.09.18:13 2816
공지 슬기로운 포인트 벌이를 하는 법 (22.10.11 업데이트) 64 네모 네모 18.06.17.20:25 17535
6534 원룸에서 물러가지고 모기향을 삿습니다. 2 핫슈블로그 24.07.08.23:28 271
6533 아.. 무더위 너무 덥습니다.. 1 핫슈블로그 24.07.04.13:07 222
6532 서브폰을 바꿨는데요... 1 image 제르엘 제르엘 24.07.02.01:17 232
6531 포호스팅에 복귀합니다.. 핫슈블로그 24.06.30.09:42 212
6530 문죄가 생겼다리 8 image 랩퍼투혼 랩퍼투혼 24.06.24.17:03 358
6529 퇴사했습니다. 5 국내산라이츄 국내산라이츄 24.06.17.01:25 375
6528 화이트 도메인 서비스 종료한다고 메일왔네요. 4 슬기 슬기 24.06.14.19:10 294
6527 근-황 2 file 국내산라이츄 국내산라이츄 24.06.03.21:59 206
6526 벌써 유월입니다 2 하이빅스비 하이빅스비 24.06.01.17:19 236
6525 근황 4 제르엘 제르엘 24.06.01.00:37 273
6524 오늘 하루 다 쏟아부어서 만들었습니다 12 image BVC_Liper_Okbul BVC_Liper_Okbul 24.05.27.00:11 380
6523 집근처에 대학교가있으면 안좋은점 3 슬기 슬기 24.05.24.21:45 248
6522 워드프레스가 꼬인 것 같습니다 5 하이빅스비 하이빅스비 24.05.18.18:57 320
6521 365 3 image 대전댁 title: 은메달대전댁 24.05.14.23:15 338
6520 그... 신형 아이패드 말인데요... 13 제르엘 제르엘 24.05.08.00:22 670
6519 GEUN-HWANG 5 file 국내산라이츄 국내산라이츄 24.05.07.00:10 214
6518 미니 PC 구매했습니다. 17 image NoYeah NoYeah 24.05.01.22:59 589
6517 근 to the 황! 5 막시모 막시모 24.04.29.10:14 404
6516 근-황 9 image 국내산라이츄 국내산라이츄 24.04.28.22:45 281
6515 근황! 7 image BVC_Liper_Okbul BVC_Liper_Okbul 24.04.26.23:13 450