최근 /var/log/syslog, /var/log/user.log 및 /var/log/messages에서 이상한 로그 항목을 발견한 테스트 목적으로 실행 중인 서버가 있습니다. auth.log에는 의심스러운 내용이 표시되지 않습니다. 이 시간 동안 (인간) 사용자가 로그인되어 있지 않아야 합니다.
서버는 소프트웨어를 거의 실행하지 않고 sshd 데몬만 실행합니다.
로그 항목은 어떤 프로그램이 이를 생성했는지 밝히지 않으며 일부 포트 검색 및 탐색 활동에서 발생한 것으로 보입니다.
이러한 메시지가 어디서 오는지 아는 사람이 있나요? (SOMEDATETIME은 로그 항목이 발생한 시간이고 SOMEIP는 알 수 없는 IP 주소입니다.)
SOMEDATETIME GET / HTTP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP #015
SOMEDATETIME OPTIONS / HTTP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME OPTIONS / RTSP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP HELP#015
SOMEDATETIME SOMEIP #026#003#000#000S#001#000#000O#003#000?G���,���`~�#000��{�Ֆ�w����<=�o�#020n#000#000(#000#026#000#023
SOMEDATETIME SOMEIP #026#003#000#000i#001#000#000e#003#003U#034��random1random2random3random4#000#000#014#000/
SOMEDATETIME SOMEIP #000#000#000qj�n0�k�#003#002#001#005�#003#002#001
SOMEDATETIME GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP #001default
SOMEDATETIME SOMEIP #002
SOMEDATETIME OPTIONS sip: nm SIP/2.0#015
SOMEDATETIME SOMEIP Via: SIP/2.0/TCP nm;branch=foo#015
SOMEDATETIME SOMEIP From: <sip:nm@nm>;tag=root#015
SOMEDATETIME SOMEIP To: <sip:nm2@nm2>#015
SOMEDATETIME SOMEIP Call-ID: 50000#015
SOMEDATETIME SOMEIP CSeq: 42 OPTIONS#015
SOMEDATETIME SOMEIP Max-Forwards: 70#015
SOMEDATETIME SOMEIP Content-Length: 0#015
SOMEDATETIME SOMEIP Contact: <sip:nm@nm>#015
SOMEDATETIME SOMEIP Accept: application/sdp#015
SOMEDATETIME SOMEIP #015
답변1
이는 누군가가 귀하의 서버에 대해 Nmap 스캔을 실행한 결과입니다. Nmap은 열려 있는 TCP 포트를 찾은 다음 여러 가지 일반적인 서비스 유형(HTTP, RTSP, SIP 등)이 활성화되어 있는지 검색하기 위해 다양한 패킷을 보냅니다. 그 항구에.
(저는 개발 중인 서버 애플리케이션에 대해 Zenmap 7.40을 실행해 보았는데, 정확히 동일한 문자열 시퀀스를 기록했습니다.)
답변2
이 동작에 대한 설명은 rsyslog 구성에 있음을 발견했습니다. 기본적으로 rsyslog는 포트 514에서 UDP 입력을 받아들이고 들어오는 패키지를 메시지, syslog 및 usr.log 로그 파일에 기록합니다. 이는 rsyslog가 기본적으로 원격 로깅 서비스 역할을 하도록 구성되었기 때문입니다. 댓글을 달아 비활성화할 수 있습니다.
#$ModLoad imudp
#$UDPServerRun 514
#$ModLoad imtcp
#$InputTCPServerRun 514
/etc/rsyslog.conf에서
답변3
표시한 로그는 별로 도움이 되지 않습니다. SOMEIP가 항상 동일한지, SOMEDATETIME이 많이 다른지, 모두 한 번의 버스트에서 발생하는지, 아니면 소수의 시간 간격으로 클러스터링되어 있는지 명확하지 않습니다.
어쨌든 이는 기본적으로 실행 중이 아닌 웹 서버에 접속하려는 시도이므로 메시지는 대신 /var/log에 기록됩니다 /var/log/apache2
. 누군가가 듣고 있지 않은 웹 서버를 열려고 하려고 그렇게 많은 노력을 기울여야 한다는 것은 좀 이상해 보입니다. 꼭 그렇게 하십시오.~ 아니다출력을 확인하여 실행 중인 웹 서버를 갖습니다.
ss -lntp
표준(80,443) 또는 비표준 포트를 수신하는 서버의 경우.
나머지 로그는 OP에 따르면 실행 중이 아닌 웹 서버인 PBX를 통해 PBX에 연결하려는 시도를 기록하기 때문에 더욱 흥미로워집니다. 그러나 프로토콜(SIP), 주소, <sip:nm@nm>
및세션 설명 프로토콜( Accept: application/sdp
) 모두 이에 대해 많은 말을 한다.
다시 한번 말씀드리지만 현재 귀하가PBX? 누군가가 귀하의 컴퓨터에 하나를 심은 것 같습니다. 다시,만약에당신의 기계가 위반되지 않았다고 생각한다면, 명령
ss -lnup
(TCP 프로토콜 대신 UDP 프로토콜의 경우) 어떤 프로세스가 어떤 포트에서 수신 대기하는지 알려줍니다.
하지만, 귀하의 컴퓨터가 위반된 경우 위의 내용은 의심스러운 내용을 보고하지 않을 수 있지만 실제로 많은 불법 행위가 진행되고 있습니다. 을 다운로드 chkrootkit
하고 실행하여 두려움(아쉽게도 근거가 있는)을 진정시켜 볼 수 있습니다 rkhunter
. 당신은 또한여기를 읽어보세요(내 자신의 답변을 언급한 것에 대해 사과드립니다. 좋지 않다는 것을 알고 있지만 일부 작업이 절약됩니다.) 그리고 무엇보다도 스스로에게 이렇게 질문해야 합니다.SSH에서 비밀번호 로그인을 비활성화하고 대신 암호화 키를 도입했나요?이 질문에 대한 대답이라면아니요, 그렇다면 귀하의 컴퓨터가 위반되었을 가능성이 있습니다. 그런 다음 처음부터 다시 설치하고 ssh
훨씬 더 안전한 공개/개인 키를 사용하기 위해 위의 지침에 따라 비밀번호 로그인을 비활성화해야 합니다.