ssh 이런 접속 시도는 뭘까요?
본문
Nov 13 03:25:29 sshd[18764]: Invalid user unknown from 186.56.42.11
Nov 13 03:25:29 sshd[18764]: input_userauth_request: invalid user unknown [preauth]
Nov 13 03:25:29 sshd[18764]: pam_unix(sshd:auth): check pass; user unknown
Nov 13 03:25:29 sshd[18764]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=186.56.42.11
Nov 13 03:25:31 sshd[18764]: Failed password for invalid user unknown from 186.56.42.11 port 35875 ssh2
Nov 13 03:25:31 sshd[18764]: Connection closed by 186.56.42.11 [preauth]
Nov 13 00:06:14 vsftpd: pam_unix(vsftpd:auth): check pass; user unknown
Nov 13 00:06:14 vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=anonymous rhost=219.138.225.150
Nov 13 00:06:18 vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=downzzang rhost=219.138.225.150 user=
Nov 13 00:06:22 vsftpd: pam_unix(vsftpd:auth): check pass; user unknown
Nov 13 00:06:22 vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=www rhost=219.138.225.150
Nov 13 00:06:27 vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=downzzang rhost=219.138.225.150 user=
뭘 이용해 접속시도하는 거죠?
phpmyadmin 주소로 접속해 접속시도하는 흔적인가요?
ssh 터미널 이용한 접속 시도하는 흔적인가요?
아니면,
별도의 해킹 프로그램을 이용한 접속시도인가요?
답변 2
ssh, ftp 로 접속시도를 하는군요.
쉽게 말하면 해킹시도입니다.
iptables 또는 route로 해당 ip를 차단해야 할 듯 합니다.
사용법은 아시리라 생각됩니다만,
- iptables 사용시
iptables -A INPUT -s 차단할ip -j DROP
service iptables save
(저장을 하지 않으면 리부팅시 적용이 되지 않음..)
-route 사용시
route add -host 차단할ip reject
답변 고맙습니다. ^^*
검색하니까, 차단명령어가 아래 형식 나오더라구요.
iptables -I INPUT -s "42.62.101.70" -p tcp --dport 80 -j DROP ;
그래서, 일단은 이렇게 입력해 차단해주고 있는데, 궁금한 게...
[1] iptables 명령어를 이용해 차단한 아이피 목록을 확인하려면?
[2] route 명령어를 이용해 차단한 아이피 목록을 확인하려면?
[3] iptables 명령어로 차단한 것과 route 명령어를 이용해 차단한 게 뭐가 다른지?
[4] 여러 아이피를 한번에 차단하려면?
위 질문은 http://sir.co.kr/qa/96847?page=0&posting=ok&sst=wr_num 에 새로 등록했어요.
iptables -I INPUT -s "42.62.101.70" -p tcp --dport 80 -j DROP ; --> 이경우는 80port 만 막는겁니다.
포트를 지정하지 않으면, ssh, telnet, ftp, sendmail, dovecot 등 모든 접속을 차단하는거지요.
1. iptalbles 확인
iptables -L
2. route 확인
route
3. iptables, route 차이
route 는 입력과 동시 차단 완료, 한번에 한개의ip만 차단
iptables는 저장하지 않을 경우, 리부팅시 내용이 없어짐. 동시에 여러개의 ip(대역)를 차단할 수 있음.
예 :
123.123.123.0~255 까지 차단할 경우, 123.123.123.0/24
123.123.0.0~123.123.255.255 까지 차단할 겨우 123.123.0.0/16
