[KFUG] [질문] 서버 두대가 같이 리붓되었습니다.

["SoonPC" <trusty@xxxxxxxxxx>]

안녕하세요~ ^^

 

또 오랜만에 질문 드립니다.  모두들 추석은 잘 보내셨는지요~

 

경기가 너무 안 좋습니다.  IT 쪽이 다시 살아나길~~~

 

 

(질문시작)

 

데몬이 올라오지 않은것 같다고 연락이 와서 확인해 본 결과,

 

연동되어 있는 서버 두대가 리붓이 되어 있네요.

 

제가 생각하기에는

 

1. IDC쪽의 전원 관리 문제
2. 루트 권한을 가진 내부 관리자가 리붓
3. 해킹

 

이렇게 생각하고 IDC쪽에 문의한 결과 당연히 -_-;;; 전원 내려 간적 없다고 하더군요..

 

일단 로그를 확인해서 시간의 엇 비슷하면 IDC쪽 문제일 가능성이 높다고 생각되어

 

라스트 로그를 보던 중 뭔가 이상한걸 발견했습니다.

 

첫번째 서버.

 

user1        ttyp1    210.211.167.16  월  9 27 18:51 - 18:52  (00:00)
user1        ttyp0    210.211.167.16  월  9 27 18:51 - 19:00  (00:08)
user1        ttyp1    210.211.167.16  월  9 27 13:18 - 13:19  (00:01)
user1        ttyp0    210.211.167.16  월  9 27 13:13 - 13:19  (00:06)
reboot           ~                             일  9 26 19:33
user2        ftp      210.114.225.29   일  9 26 19:13 - 19:13  (00:00)
user2        ftp      220.84.18.92       일  9 26 17:54 - 17:54  (00:00)
user2        ftp      210.22.136.154   일  9 26 13:59 - 14:19  (00:20)
user2        ftp      210.149.47.33     일  9 26 13:32 - 13:32  (00:00)
user2        ftp      219.220.106.84   일  9 26 12:57 - 12:59  (00:02)
user2        ftp      220.223.240.11   일  9 26 12:40 - 12:41  (00:00)
user2        ftp      220.189.210.12   일  9 26 12:27 - 12:27  (00:00)

 

두번째 서버.

 

user6        ftp      211.220.136.11   목  9 30 19:58 - 19:58  (00:00)   
user6        ttyp0   211.220.136.11   목  9 30 19:56   still logged in
reboot           ~                            목  9 30 19:53
shutdown         ~                         금 10  1 04:51
shutdown         ~                         금 10  1 04:40
shutdown         ~                         금 10  1 04:30
shutdown         ~                         금 10  1 04:24
shutdown         ~                         금 10  1 04:20
shutdown         ~                         금 10  1 04:16
shutdown         ~                         금 10  1 03:42
user5       ftp      221.151.163.179  일  9 26 10:48 - shutdown (4+16:54)
user4       ftp      211.221.183.107  일  9 26 10:40 - shutdown (4+17:02)
user1       ftp      211.220.181.140  일  9 26 10:33 - shutdown (4+17:09)
user1       ftp      211.220.181.140  일  9 26 10:33 - 10:33  (00:00)
user1       ftp      211.220.181.140  일  9 26 10:33 - 10:33  (00:00)
user1       ftp      211.220.181.140  일  9 26 10:32 - 10:32  (00:00)
user1       ftp      211.220.181.140  일  9 26 10:32 - 10:32  (00:00)
user1       ftp      211.220.181.140  일  9 26 10:32 - 10:32  (00:00)
user1       ftp      211.220.181.140  일  9 26 10:32 - 10:32  (00:00)
user1       ftp      211.220.181.140  일  9 26 10:32 - 10:32  (00:00)
user1       ftp      211.220.181.140  일  9 26 10:31 - 10:31  (00:00)
user1       ftp      211.220.181.140  일  9 26 10:00 - 10:00  (00:00)
user1       ftp      211.220.181.140  일  9 26 10:00 - 10:00  (00:00)
user3       ftp      228.220.197.151  일  9 26 09:45 - shutdown (4+17:57)
user1       ftp      211.220.181.140  일  9 26 09:28 - 10:01  (00:33)
user1       ftp      211.220.181.140  일  9 26 09:28 - 09:28  (00:00)
user1       ftp      211.220.181.140  일  9 26 09:28 - 09:28  (00:00)
user1       ftp      211.220.181.140  일  9 26 09:28 - 09:28  (00:00)
user1       ftp      211.220.181.140  일  9 26 09:27 - 09:27  (00:00)
user1       ftp      211.220.181.140  일  9 26 09:27 - 09:27  (00:00)
user1       ftp      211.220.181.140  일  9 26 09:27 - 09:27  (00:00)
user1       ftp      211.220.181.140  일  9 26 09:26 - 09:26  (00:00)   
user2       ftp      220.210.240.112  일  9 26 09:15 - shutdown (4+18:27)
user2       ftp      220.210.240.112  일  9 26 09:15 - 09:15  (00:00)   
user1       ftp      211.220.181.140  일  9 26 08:53 - 09:28  (00:35)
user1       ftp      211.220.181.140  일  9 26 08:52 - 08:52  (00:00)
user1       ftp      211.220.181.140  일  9 26 08:52 - 08:52  (00:00)

 

이 라스트 로그는 30일날 저장한건데요  10월 1일자 로그가 있습니다. 이어서는 정상부팅한 30일자가 나오구요.

 

이 부분에서 누가 해킹을 한것 같은데.. 이렇게 유추해도 무리가 없는건지요?

 

또한 reboot 명령으로 정상적으로 리붓해도 라스트 로그에는 reboot 이라고만 나와서 누가 리붓했는지 알수가 없는데,

 

이럴 경우에는 누가 리붓이나 셧다운을 했는지 알 수 있는 방법이 있을까요?

 

한쪽은 리붓이고 한쪽은 셧다운이라고 나오니...

 

 

#auth.log 와 messages 화일에는  특이한 점이 없었습니다.

 

/var/log/messages

 

Sep 19 13:08:44 root proftpd[76949]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'upload'
Sep 19 13:08:45 root proftpd[76949]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'up'
Sep 19 13:08:45 root proftpd[76949]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'test'
Sep 19 13:08:46 root proftpd[76951]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'movieup'
Sep 19 13:08:47 root proftpd[76951]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'tvup'
Sep 19 13:08:47 root proftpd[76951]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'softup'
Sep 19 13:08:48 root proftpd[76954]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'comicup'
Sep 19 13:08:49 root proftpd[76954]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'upload'
Sep 19 13:08:49 root proftpd[76954]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'up'
Sep 19 13:08:50 root proftpd[76956]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'test'             
Sep 19 13:08:51 root proftpd[76956]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'movieup'
Sep 19 13:08:51 root proftpd[76956]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'tvup'
Sep 19 13:08:52 root proftpd[76958]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'softup'
Sep 19 13:08:53 root proftpd[76958]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'comicup'
Sep 19 13:08:53 root proftpd[76958]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'upload'
Sep 19 13:08:54 root proftpd[76960]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'upload'
Sep 19 13:08:55 root proftpd[76960]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'up'
Sep 19 13:08:55 root proftpd[76960]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'ftp'

 

이 사전공격은 참 주기적으로 오네요.. ㅡ,ㅡ

 

/var/log/auth.log

 

Sep 23 09:36:32 root sshd[44669]: Illegal user test from 218.93.124.211
Sep 23 09:36:38 root sshd[44671]: Illegal user guest from 218.93.124.211
Sep 23 09:36:45 root sshd[44673]: Illegal user admin from 218.93.124.211
Sep 23 09:36:51 root sshd[44675]: Illegal user admin from 218.93.124.211
Sep 23 09:36:57 root sshd[44677]: Illegal user user from 218.93.124.211
Sep 23 09:37:09 root sshd[44679]: User root not allowed because not listed in AllowUsers

 

 

chkrootkit 하고 Rootkit Hunter로 체크 해보니 백도어는 발견되지 않았습니다.

 

근데 Rootkit Hunter로 보니 서버 두곳 모두 보안버그 프로그램이 있다고 나옵니다. (서버 두대가 환경이 같습니다.)

 

   - Apache 1.3.29                [ Vulnerable ]
   - Bind DNS 8.3.7               [ Unknown    ]
   - OpenSSL 0.9.7c             [ Vulnerable ]
   - OpenSSL 0.9.7c             [ Vulnerable ]
   - PHP 4.3.4RC1                 [ Unknown    ]
   - ProFTPd 1.2.9                 [ Vulnerable ]
   - OpenSSH 3.5p1              [ Vulnerable ]

 

# uname -a
FreeBSD domain.org 4.9-STABLE FreeBSD 4.9-STABLE #0: Sat Dec 27 22:45:53 KST 2003 root@xxxxxxxxxx:/usr/obj/usr/src/sys/KERNEL  i386

 

 

다른 로그 화일들로 체크 해 보았는데,  당체  원인이 뭔지 아직 감을 못 잡고 있습니다. ㅠ.ㅠ  이 상황을 어떻게 유추하면 좋을까요?

 

사족으로 dmesg 마지막에 나오는 이줄은 뭘 하라는건지요?

 

Sep 26 19:34:16 root /kernel: /var: optimization changed from SPACE to TIME

 

복잡한 글 읽어주셔서 감사합니다.

_______________________________________________
한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트
questions at kr.FreeBSD.org
http://www.kr.FreeBSD.org/mailman/listinfo/questions