로그인 기록 확인

Question 1

누군가가 귀하의 상자를 가지고 놀거나 어떤 종류의 장난을 치고 있는데 자신의 흔적을 가리지 않는다고 가정해 보겠습니다.

로그인 기록 확인

명령줄을 통해

w
last

로그 파일을 통해

/var/log/auth.log (debian/ubuntu)
/var/log/secure (RedHat/CentOS/Fedora?)

다른 가능성

귀하의 박스는 가상 머신이며, 이전 상태(스냅샷)로의 지속적인 롤백이 있습니다.
많은 VPS는 실제로 루트 비밀번호를 재설정합니다. 루트 비밀번호를 변경하려면 공급업체/호스팅 웹 인터페이스를 사용해야 합니다. 그렇지 않으면 이전 버전으로 계속 변경됩니다.

Answer

누군가가 귀하의 상자를 가지고 놀거나 어떤 종류의 장난을 치고 있는데 자신의 흔적을 가리지 않는다고 가정해 보겠습니다.

로그인 기록 확인

명령줄을 통해

w
last

로그 파일을 통해

/var/log/auth.log (debian/ubuntu)
/var/log/secure (RedHat/CentOS/Fedora?)

다른 가능성

귀하의 박스는 가상 머신이며, 이전 상태(스냅샷)로의 지속적인 롤백이 있습니다.
많은 VPS는 실제로 루트 비밀번호를 재설정합니다. 루트 비밀번호를 변경하려면 공급업체/호스팅 웹 인터페이스를 사용해야 합니다. 그렇지 않으면 이전 버전으로 계속 변경됩니다.

Question 2

나는 단지 무슨 일이 일어나고 있는지 공유하고 싶었습니다.

이 질문을 한 사람은 바로 저입니다. 아주 오래되고 반복되는 질문입니다.

문제는 여기에서 볼 수 있습니다:

http://hotechs.com/2008/10/user-root-blocked-cphulk-brute-force-protection/

cpanel을 사용하고 있습니다.

Cpanel에는 무차별 로깅으로부터 시스템을 보호하는 cphulk가 있습니다.

문제는,

많은 사람들이 같은 문제에 직면했습니다. 해결책은 귀하의 IP가 cphulk에 의해 허용 목록에 포함되어 있는지 확인하는 것입니다. 또한 기기를 다시 시작해도 잠시 동안 작동하는 경우가 있습니다. 쉬운 해결책은 없습니다.

Answer

나는 단지 무슨 일이 일어나고 있는지 공유하고 싶었습니다.

이 질문을 한 사람은 바로 저입니다. 아주 오래되고 반복되는 질문입니다.

문제는 여기에서 볼 수 있습니다:

http://hotechs.com/2008/10/user-root-blocked-cphulk-brute-force-protection/

cpanel을 사용하고 있습니다.

Cpanel에는 무차별 로깅으로부터 시스템을 보호하는 cphulk가 있습니다.

문제는,

많은 사람들이 같은 문제에 직면했습니다. 해결책은 귀하의 IP가 cphulk에 의해 허용 목록에 포함되어 있는지 확인하는 것입니다. 또한 기기를 다시 시작해도 잠시 동안 작동하는 경우가 있습니다. 쉬운 해결책은 없습니다.

Question 3

이 문제에 대한 다른 게시물을 보다가 시스템이 감염되었는지 확인하는 방법에 대한 정보를 발견했습니다.

임의의 프로그램을 실행하십시오:

rkhunter  
chkrootkit

바이너리 파일 무결성 확인

rpm -Va .

모든 루트 소유 파일에 suid 비트가 켜져 있는지 확인하십시오. 이러한 파일은 사용자에 관계없이 루트로 실행됩니다. 사용:

find / -perm 4755

생성된 파일에는 rwsr-xrx 권한이 있습니다. "s"는 suid 비트가 켜져 있음을 나타냅니다. 모든 사용자(궁극적으로는 rx)가 실행할 수 있으므로 이는 모든 사용자가 루트로 실행할 수 있음을 의미합니다. 4777, 4775, 4755 등 각각에 대해 찾기를 실행했습니다. - 기본적으로 사용자(루트)를 제외한 모든 사람이 파일에 쓸 수 있는 모든 모드에 대해(따라서 4744를 검색할 이유가 없습니다. 다른 사람이 읽을 수 있고 루트만 쓸 수 있습니다.

http://www.linuxquestions.org/questions/linux-security-4/root-password-keeps-changing-372647/

또한 비밀번호를 재설정하려면 GRUB 부팅 메뉴에서 linux16 라인에 추가하세요...

rw init=/bin/bash

ctrl에 따르면 -x

루트 비밀번호 재설정

passwd

사용자 비밀번호 재설정

passwd [user]
touch / .autorelabel
/sbin/reboot -f

http://linuxbsdos.com/2015/03/19/how-to-reset-passwords-on-fedora-21-and-22/

또한 영향을 받은 시스템에서 Linux.Xor.DDoS 트로이 목마가 발견되었습니다. 아직도 제거하는 방법을 찾고 있습니다. 그러나 침입을 방지하는 효과적인 방법은 개인 키를 사용하는 것입니다.

SSH 서버도 실행 중인 경우 강력한 비밀번호로 키 인증을 설정한 다음 비밀번호 인증만 끄십시오. 이렇게 하면 SSH가 설정한 공개/개인 키를 사용하여 인증하게 됩니다. 공격자가 적절한 키를 가지고 있지 않기 때문에 시스템의 연결이 끊어져 무차별 대입 공격이 거의 불가능해집니다.

ssh-keygen -t rsa

지침에 따라 비밀번호를 입력하고 키를 파일에 저장합니다. 이제 SSH를 통해 연결하려는 컴퓨터에 키를 복사하세요.

ssh-copy-id username@remote_host

마지막으로 키를 전송한 후 다음 명령을 사용하여 로그인할 수 있습니다.

ssh username@remote_host

https://www.bleepingcomputer.com/forums/t/562586/the-newly-discovered-xorddos-trojan-infects-linux-systems-to-possible-build-an/

https://www.digitalocean.com/community/tutorials/how-to-configure-ssh-key-based-authentication-on-a-linux-server

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/s2-ssh-configuration-keypairs.html

SSH 비밀번호 확인을 비활성화합니다.

cd /etc/ssh
cp sshd_config sshd_config.orig
vi sshd_config

다음 설정을 변경하세요.

PermitRootLogin     no
PasswordAuthentication  no
UsePAM          no

SSH 다시 시작

/etc/init.d/ssh restart

https://www.howtoforge.com/set-up-ssh-with-public-key-authentication-debian-etch

Answer

이 문제에 대한 다른 게시물을 보다가 시스템이 감염되었는지 확인하는 방법에 대한 정보를 발견했습니다.

임의의 프로그램을 실행하십시오:

rkhunter  
chkrootkit

바이너리 파일 무결성 확인

rpm -Va .

모든 루트 소유 파일에 suid 비트가 켜져 있는지 확인하십시오. 이러한 파일은 사용자에 관계없이 루트로 실행됩니다. 사용:

find / -perm 4755

생성된 파일에는 rwsr-xrx 권한이 있습니다. "s"는 suid 비트가 켜져 있음을 나타냅니다. 모든 사용자(궁극적으로는 rx)가 실행할 수 있으므로 이는 모든 사용자가 루트로 실행할 수 있음을 의미합니다. 4777, 4775, 4755 등 각각에 대해 찾기를 실행했습니다. - 기본적으로 사용자(루트)를 제외한 모든 사람이 파일에 쓸 수 있는 모든 모드에 대해(따라서 4744를 검색할 이유가 없습니다. 다른 사람이 읽을 수 있고 루트만 쓸 수 있습니다.

http://www.linuxquestions.org/questions/linux-security-4/root-password-keeps-changing-372647/

또한 비밀번호를 재설정하려면 GRUB 부팅 메뉴에서 linux16 라인에 추가하세요...

rw init=/bin/bash

ctrl에 따르면 -x

루트 비밀번호 재설정

passwd

사용자 비밀번호 재설정

passwd [user]
touch / .autorelabel
/sbin/reboot -f

http://linuxbsdos.com/2015/03/19/how-to-reset-passwords-on-fedora-21-and-22/

또한 영향을 받은 시스템에서 Linux.Xor.DDoS 트로이 목마가 발견되었습니다. 아직도 제거하는 방법을 찾고 있습니다. 그러나 침입을 방지하는 효과적인 방법은 개인 키를 사용하는 것입니다.

SSH 서버도 실행 중인 경우 강력한 비밀번호로 키 인증을 설정한 다음 비밀번호 인증만 끄십시오. 이렇게 하면 SSH가 설정한 공개/개인 키를 사용하여 인증하게 됩니다. 공격자가 적절한 키를 가지고 있지 않기 때문에 시스템의 연결이 끊어져 무차별 대입 공격이 거의 불가능해집니다.

ssh-keygen -t rsa

지침에 따라 비밀번호를 입력하고 키를 파일에 저장합니다. 이제 SSH를 통해 연결하려는 컴퓨터에 키를 복사하세요.

ssh-copy-id username@remote_host

마지막으로 키를 전송한 후 다음 명령을 사용하여 로그인할 수 있습니다.

ssh username@remote_host

https://www.bleepingcomputer.com/forums/t/562586/the-newly-discovered-xorddos-trojan-infects-linux-systems-to-possible-build-an/

https://www.digitalocean.com/community/tutorials/how-to-configure-ssh-key-based-authentication-on-a-linux-server

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/s2-ssh-configuration-keypairs.html

SSH 비밀번호 확인을 비활성화합니다.

cd /etc/ssh
cp sshd_config sshd_config.orig
vi sshd_config

다음 설정을 변경하세요.

PermitRootLogin     no
PasswordAuthentication  no
UsePAM          no

SSH 다시 시작

/etc/init.d/ssh restart

https://www.howtoforge.com/set-up-ssh-with-public-key-authentication-debian-etch

Question 4

내 생각엔 네트워크에 동일한 IP 주소를 가진 다른 컴퓨터가 있고 충돌하는 것 같습니다. 때로는 서버에 로그인할 때도 있고, 때로는 악성 서버에 로그인할 때도 있습니다.

Answer

내 생각엔 네트워크에 동일한 IP 주소를 가진 다른 컴퓨터가 있고 충돌하는 것 같습니다. 때로는 서버에 로그인할 때도 있고, 때로는 악성 서버에 로그인할 때도 있습니다.

로그인 기록 확인

답변1

로그인 기록 확인

명령줄을 통해

로그 파일을 통해

다른 가능성

답변2

답변3

답변4

관련 정보