고쳐 쓰다

고쳐 쓰다

이 클라우드 서버를 임대했는데 최근에 약간의 공격을 받았습니다. tty를 통해 의심스러운 사용자가 로그인하는 것을 볼 수 있습니다.

leetom@S152:~$ last -x ayn1
ayn1     tty1                          Wed Oct 28 18:59 - 19:01  (00:02)
ayn1     tty1                          Wed Oct 28 18:55 - 18:59  (00:03)

내가 아는 한, 내 서버가 해킹되면 사용자는 pts(ssh 또는 다른 수단)를 통해서만 로그인할 수 있으며 IP 주소가 기록되어야 합니다. 그래서 서비스 제공업체의 호스트가 해킹당해 해당 호스트를 통해 의심스러운 사용자가 로그인했을 가능성이 있다고 생각됩니다. 그게 가능합니까? (물론 인정하지 않습니다.)

그런데 root@(none):/# useradd -o -u 0 -g 0 -M -d /root -s /bin/bash ayn1 웹 콘솔에서 명령을 볼 수 있지만 웹 콘솔을 어떻게 구현하는지 모르겠습니다.

고쳐 쓰다

이런 일이 다시 발생했고 다음 로그를 발견했습니다.

Nov  1 17:31:36 S152 login[21780]: pam_unix(login:auth): check pass; user unknown
Nov  1 17:31:36 S152 login[21780]: pam_unix(login:auth): authentication failure; logname=ayn1 uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Nov  1 17:31:39 S152 login[21780]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure
Nov  1 17:33:21 S152 sshd[804]: Received signal 15; terminating.
Nov  1 17:33:21 S152 sshd[1039]: Server listening on 0.0.0.0 port 22.
Nov  1 17:33:21 S152 sshd[1039]: Server listening on :: port 22.
Nov  1 17:33:45 S152 login[1563]: pam_unix(login:auth): check pass; user unknown
Nov  1 17:33:45 S152 login[1563]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Nov  1 17:33:49 S152 login[1563]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure
Nov  1 17:34:00 S152 login[1563]: pam_unix(login:session): session opened for user yan1 by LOGIN(uid=0)
Nov  1 17:34:00 S152 login[2054]: ROOT LOGIN  on '/dev/tty1'
Nov  1 17:34:53 S152 login[1563]: pam_unix(login:session): session closed for user yan1

관련 정보