목록
아래로
위로

서버 털릴뻔했습니다.

13
Kongjak
2018.01.19. 17:24
조회 수 2348

라즈베리파이 3로 팀 다운로드 서버로 쓰고 있습니다.

오늘 nginx access.log 열어봤는데 누군가 phpmyadmin으로 해킹 시도를 하더라고요.

다행히 주소를 특이하게 해논덕분에 털리지는 않았습니다.

54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
5.101.40.8 - - [19/Jan/2018:10:27:14 +0900] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 173 "-" "-"
60.191.52.254 - - [19/Jan/2018:11:04:56 +0900] "HEAD http://wap.ip138.com/ HTTP/1.1" 200 0 "-" "Java/1.8.0_77"
60.191.52.254 - - [19/Jan/2018:11:04:57 +0900] "\x05\x02\x00\x02" 400 173 "-" "-"
이게 해당로그입니다.

여기서 누군가 해킹하려하는구나 하고 ssh 접속 실패로그를 봤죠.

그리고 끔찍한걸 봤습니다.

서버를 13일날 만들었고 14일부터 오늘 새벽까지 접속시도를 하더군요.

아이피로 알아봤는데 지역도 미국, 프랑스, 포루투칼, 한국 등 다양합니다.

로그는 첨부파일로 올리겠습니다.

sshlog.txt

다행히 라즈베리파이 세팅할때 제일먼저 비번을 바꿔놔서 다행이지, 아니면 털릴뻔했습니다. (첫 시도 아이디가 pi더군요)

일단 iptables로 아이피를 막긴 막있는데 걱정이네요.

작성자

Kongjak 35 Lv. (25%) 99420/103680EXP

공작 커뮤니티 - https://kongjak.com

모니터

으어어어.. 그나저나 사이트가 심플하시네요...!!

2018.01.19. 17:31

"모니터님의 댓글"

이 댓글을 신고 하시겠습니까?

포인트 폭탄+ → 모니터

모니터님 축하합니다.
추가로 200포인트만큼 포인트 폭탄+를 받았습니다.

수정 삭제

2018.01.19. 17:31

"포인트 폭탄+님의 댓글"

이 댓글을 신고 하시겠습니까?

삭제

Kongjak 작성자 → 모니터

어떤 사이트요?

2018.01.19. 17:33

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

모니터 → Kongjak

공작님 사이트요..!! 헤헤

2018.01.20. 01:02

"모니터님의 댓글"

이 댓글을 신고 하시겠습니까?

Kongjak 작성자

163.172.169.150 - - [17/Jan/2018:12:26:31 +0900] "GET / HTTP/1.0" 200 612 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"

이런 로그도 있네요

2018.01.19. 17:33

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah

이럴때 fail2ban을 설치하는겁니다

2018.01.19. 18:52

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

Kongjak 작성자 → NoYeah

그래서 설치했습니다.

아주 좋아요!

2018.01.19. 19:48

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

humit

ㄷㄷㄷ.. 포트스캔까지....

잡으면 콩밥을 먹여주세요 ㅋㅋㅋㅋ

2018.01.19. 19:54

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

Kongjak 작성자 → humit

잡기 힘들듯합니다.

해외에요.

일단 방어는 할만큼 했습니다.

2018.01.19. 20:09

"Kongjak님의 댓글"

이 댓글을 신고 하시겠습니까?

포인트 폭탄+ → Kongjak

공작님 축하합니다.
추가로 200포인트만큼 포인트 폭탄+를 받았습니다.

수정 삭제

2018.01.19. 20:09

"포인트 폭탄+님의 댓글"

이 댓글을 신고 하시겠습니까?

삭제

humit → Kongjak

그래도 털리지 않으셔서 다행이네요..

2018.01.19. 20:15

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

HyungJu

에구... 아주 그냥 PMA 찾을라고 바락을 하네요

저 IP는 분명히 프록시일테니 프록시 접속이나 GeoIP 로 해외 접속을 막으시는것도..

2018.01.20. 09:47

"HyungJu님의 댓글"

이 댓글을 신고 하시겠습니까?

JAVA

서버를 왜 공격하는걸까요?

2018.01.22. 11:29

"JAVA님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.

번호	제목	글쓴이	날짜	조회 수
공지	[작업 완료] 설 명절 맞이 서버 업데이트 안내 3	마스터	24.02.11.17:21	2204
공지	[중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4	마스터	23.01.14.02:23	5884
공지	낚시성 불법도박 홍보 게시글을 주의하세요. 9	네모	22.08.09.18:13	738
공지	슬기로운 포인트 벌이를 하는 법 (22.10.11 업데이트) 64	네모	18.06.17.20:25	15640
6509	2021년은 반드시 1년 출석을 성공시키고 싶습니다. 1	260578	20.12.31.23:55	50
6508	새해복만땅받으세요~~~~~^^ 4	호랑이	21.02.10.23:04	50
6507	또 연속 출석 놓졌네요 2	출사로	21.02.15.10:41	50
6506	양놈들의 낚시는 대체 어디까지인가...	국내산라이츄	21.03.03.22:21	50
6505	서비스 장애 발생한 듯합니다. 1	HighSpeed	21.01.15.20:31	51
6504	포인트 모으기 도전합니다! 2	wikiowner	21.01.16.10:22	51
6503	눈이 옵니다. 1	국내산라이츄	21.01.18.05:18	51
6502	일주일 연속출석 힘든이유 3	wikiowner	21.02.01.13:05	51
6501	설 연휴 마지막이 그 날입니다. 2	국내산라이츄	21.02.05.03:32	51
6500	오늘도 재밌는짤 남기고 갑니다~^^	민트초코조아..	21.01.18.10:12	52
6499	설문지나 뭐 그런거 만들때 쓰기 좋을듯합니다 3	wikiowner	21.01.29.22:28	52
6498	3등?? 2	wikiowner	21.02.11.00:00	52
6497	와 가위바위보 5연속 패 ㅋㅋㅋㅋㅋ 이것도 능력인가 봅니다	그라페인	21.03.12.22:13	52
6496	읭 출첵이 정상적으로 안됐네요.. 1	국내산라이츄	20.08.25.01:16	53
6495	메모장 위치가 자꾸 바뀌네요.	슬기	21.03.11.17:30	53
6494	놋북이 슬슬 갈 때가 됐나...	국내산라이츄	21.03.31.22:30	53
6493	새해 복 많이 받으세요 4	하이빅스비	22.12.31.21:59	53
6492	호스팅 1:1 댓글달기 저만 오류나나요? 2	wikiowner	20.12.18.09:08	54
6491	삽질 끝났습니다. 1	HighSpeed	21.01.13.17:38	54
6490	안녕하세요! 방금 회원가입 했습니다. 6	파이리	21.02.07.18:44	54

자유게시판

서버 털릴뻔했습니다.

작성자

Kongjak 35 Lv. (25%) 99420/103680EXP

댓글 13

신고

신고

삭제

신고

신고

신고

신고

신고

신고

신고

신고

삭제

신고

신고

신고

검색

스터디 최근글 [1/]

로그인

작성자 Kongjak 35 Lv. (25%) 99420/103680EXP

댓글 13

신고

신고

삭제

신고

신고

신고

신고

신고

신고

신고

신고

삭제

신고

신고

신고

검색

로그인

작성자

Kongjak 35 Lv. (25%) 99420/103680EXP