어제 회사 서버에 접속해 보니 로그인 시도 실패 횟수가 107건이었습니다. 로그를 확인해보니 모든 항목이 내 IP 주소에서 왔고 전달된 비밀번호는 비어 있거나 단순히 "password"인 것으로 나타났습니다.
내 노트북이 일종의 트로이 목마에 감염된 것으로 의심되어 그것이 무엇인지 알아내려고 노력 중입니다. 이 작업을 수행하는 방법을 아는 사람이 있나요?
그리고 이러한 연결 시도를 발견한 후 Sophos Antivirus를 설치했는데 검사 시간이 꽤 오래 걸려서 관련 정보가 없습니다.
편집 #1 이것은 로그의 일부입니다:
lip 24 15:03:38 SERVER sshd[28704]: error: PAM: Authentication failure for filip from 192.168.10.107
lip 24 15:03:38 SERVER sshd[28704]: Failed none for filip from 192.168.10.107 port 53304 ssh2
lip 24 15:03:38 SERVER sshd[28704]: Failed password for filip from 192.168.10.107 port 53304 ssh2
lip 24 15:03:38 SERVER sshd[28704]: Failed password for filip from 192.168.10.107 port 53304 ssh2
lip 24 15:03:38 SERVER sshd[28704]: error: maximum authentication attempts exceeded for filip from 192.168.10.107 port 53304 ssh2 [preauth]
운영 체제는 openSUSE Leap 15.1입니다. "의심스러운" 항목을 설치한 기억이 없습니다.
답변1
잘못 구성된 스크립트처럼 보입니다. 트로이 목마가 동일한 로그인과 빈 비밀번호를 107번 시도하는 이유는 무엇입니까?
랩톱이 여전히 네트워크에 연결되어 있고 SSH 로그인에 대해 이야기하고 있다고 가정하면 다음 명령을 사용하십시오.
netstat -anp | grep 22
어떤 프로세스가 연결을 시도하고 있는지 알아보세요.
그러나 여기에는 더 큰 보안 문제가 있습니다.
먼저, 회사의 SOC에 미리 알려야 합니다. 동일한 IP에서 107번의 실패한 로그인 시도를 금지하지 않고 허용하는 것은 허용되지 않습니다.
둘째, 당신이 쓴
전달된 비밀번호는 비어 있거나 "password"입니다.
이런 말을 할 수 있다면 이런 뜻이다.비밀번호는 일반 텍스트로 전송되고 로그에 일반 텍스트로 저장됩니다..
답변2
어머나!
프로젝트를 업데이트하려고 할 때마다 오류가 발생하므로 Intellij git repo가 잘못 구성된 것 같습니다. 변경 사항을 푸시하면 이러한 오류도 발생하지만 저장소는 실제로 업데이트됩니다.