auth.log 파일을 보면 지속적인 로그인 시도가 발생하는 것을 알 수 있다.

한번은 어디서 이렇게 들어오는지 유심히 봤는데

39.162.8.99 란 IP 를 사용하는 단말이다.

뭔가 ID 사전이 있고 무차별 대입하여 ssh 을 로그인하려는 시도로 보인다.

일단 IP 검색을 해보니 아래의 위치로 추정된다.

 

역시 중국! 중국!

 

뭐 대충 이런 정보를 가지고 있더라.

공격을 어떻게 해야하는지 모르지만 해당 단말에 열린 포트를 보니 아래와 같았고 첫번째 포트가 쉘이지 않을까 싶어 연결을 했더니 진짜 연결이 되었다.

 

그런데 실제 존재하는 계정이 아니면 암호를 묻지도 않고 끊어버리는 단호함 

나도 로그인시도를 했으니 소심한 복수는 한 것인가?

어쨋든 아래의 아파치 톰캣이 실행중인 웹서비스 주소도 찾아냈다. 

 

http://39.162.8.99:28080/

 

아래의 주소는 이상한 파일을 다운로드하게 하는데, 이 파일의 정체가 뭔지 모르겠다. 

http://39.162.8.99:23306

대략 아래와 같은 내용인데 뭔지 모르겠다.

아래의 주소들도 뭔가 어떤 용도의 페이지인 듯 보인다

http://39.162.8.99:33731

http://39.162.8.99:33732

http://39.162.8.99:33796

아래의 페이지는 무슨 알고리즘 플랫폼 로그인 페이지인데.. 뭐지..

 

http://39.162.8.99:60080/

 

이 밖에도 열린 포트가 많은데, 문제는, 어떤 포트가 어떤 서비스를 위한 포트이고 또 서비를 찾았다면 어떤 공격을 실제로 시도해야 쉘 까지 도달 할 수 있을까?

 

아무튼 능력자가 있으면 이 단말에게 복수를 부탁한다! 다시는 타인의 서버에 공격을 하지 않도록!

  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기