라즈베리파이 3로 팀 다운로드 서버로 쓰고 있습니다.
오늘 nginx access.log 열어봤는데 누군가 phpmyadmin으로 해킹 시도를 하더라고요.
다행히 주소를 특이하게 해논덕분에 털리지는 않았습니다.
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:43 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:45 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET /muieblackcat HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:53:50 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //pma/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
54.37.200.171 - - [19/Jan/2018:07:54:10 +0900] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 143 "-" "-"
5.101.40.8 - - [19/Jan/2018:10:27:14 +0900] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 173 "-" "-"
60.191.52.254 - - [19/Jan/2018:11:04:56 +0900] "HEAD http://wap.ip138.com/ HTTP/1.1" 200 0 "-" "Java/1.8.0_77"
60.191.52.254 - - [19/Jan/2018:11:04:57 +0900] "\x05\x02\x00\x02" 400 173 "-" "-"
이게 해당로그입니다.
여기서 누군가 해킹하려하는구나 하고 ssh 접속 실패로그를 봤죠.
그리고 끔찍한걸 봤습니다.
서버를 13일날 만들었고 14일부터 오늘 새벽까지 접속시도를 하더군요.
아이피로 알아봤는데 지역도 미국, 프랑스, 포루투칼, 한국 등 다양합니다.
로그는 첨부파일로 올리겠습니다.
다행히 라즈베리파이 세팅할때 제일먼저 비번을 바꿔놔서 다행이지, 아니면 털릴뻔했습니다. (첫 시도 아이디가 pi더군요)
일단 iptables로 아이피를 막긴 막있는데 걱정이네요.
으어어어.. 그나저나 사이트가 심플하시네요...!!
추가로 200포인트만큼 포인트 폭탄+를 받았습니다.
어떤 사이트요?
공작님 사이트요..!! 헤헤
163.172.169.150 - - [17/Jan/2018:12:26:31 +0900] "GET / HTTP/1.0" 200 612 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
이런 로그도 있네요
이럴때 fail2ban을 설치하는겁니다
그래서 설치했습니다.
아주 좋아요!
ㄷㄷㄷ.. 포트스캔까지....
잡으면 콩밥을 먹여주세요 ㅋㅋㅋㅋ
잡기 힘들듯합니다.
해외에요.
일단 방어는 할만큼 했습니다.
추가로 200포인트만큼 포인트 폭탄+를 받았습니다.
그래도 털리지 않으셔서 다행이네요..
에구... 아주 그냥 PMA 찾을라고 바락을 하네요
저 IP는 분명히 프록시일테니 프록시 접속이나 GeoIP 로 해외 접속을 막으시는것도..
서버를 왜 공격하는걸까요?
댓글 달기