mis서버 계정페스워드 유출건

2005.04.29 16:57

유용빈 조회 수:5853

안녕하세요? 02학번 유용빈입니다.
오늘 어떤 행사진행때문에 외부에 나와서 하루종일 컴퓨터앞을 지킬일이 있어서 지난번 웹서버 장애 원인도 밝혀볼겸해서 로그를 조금 뒤졌는데 학부서버에 안좋은일이 있었던걸 발견했습니다. 'test'라는 계정이 해킹 or 페스워드 유출당해서 2G정되 되는 용량의 외국 게임(Empire Earth 2) 의 warez배포서버로 사용된것 같습니다. 우연히 ftp전송로그쪽을 뒤지다가 못보던 계정이 있어서 로그를 뒤졌더니 public_html 아래로 디렉토리를 잔뜩 만들어놓고 그중 일부에 들어갔더니 rar로 분할압축된 게임CD 이미지가 있었습니다. 전송은 하루마다 로그가 rotate되는 바람에 한사람정도 밖에 찾지를 못했는데 whois결과는 아래와 같습니다.
inetnum:      84.128.0.0 - 84.135.255.255
netname:      DTAG-DIAL19
descr:        Deutsche Telekom AG
country:      DE
admin-c:      DTIP
tech-c:       DTST
status:       ASSIGNED PA
독일쪽 네트웍대역에서 받아가고 있었던걸로 봐서 아무리봐도 우리과 학생이 업로드한거 같지는 않습니다. upload로그는 결국 찾지 못했는데 몇건에 접속시도 로그가 인도쪽에서 있었습니다.
route:        61.246.0.0/16
descr:        BHARTI-IN
descr:        BHARTI INFOTEL LTD.
descr:        Class A ISP in INDIA .
descr:        234 , OKHLA PHASE III ,
descr:        NEW DELHI
descr:        INDIA
country:      IN
origin:       AS9498
mnt-by:       MAINT-IN-BBIL
changed:      sohan.bisht@bharti.com 20040913
source:       APNIC
쩝 아무튼 지금은 test계정을 block하고 /home/test/ 를 다른곳으로 옮겨두는것으로 1차 처리를 해둔 상태입니다.

** 혹시 'test'라는 계정을 만드셨거나 password를 알고 계신분은 리플을 좀 달아주시기 바랍니다 -0-;;; **

아무튼간에 그동안 이런저런 바쁜일로 너무 관리를 소홀히 했던게 몇일전 장애나 이번 ftp문제등을 낳은거 같아서 뒤늫게 나마 오늘 하루종일 설치되어있던 페키지들 업그래이드작업과 보안관련 셋팅, 로그관련 셋팅등을 했습니다. 사실상 학부서버 관리를 저 혼자 하고 있어서 지금까지 특별히 정책같은게 없었지만 지금도 저 이외에 몇몇분들은 root비번을 알고 계시고 앞으로 점점 다른과 호스팅도 많이 들어올 예정이기때문에 하나씩 룰을 정해갈 필요가 있을꺼 같습니다. 이번 일을 계기로 한가지 만든 룰은...

* 계정을 생성할때 'comment'는 "XX학번 이름"  혹은 "소속 이름" 등으로 실재 사용자가 누군지 한번에 알아볼수 있도록 생성하기.

입니다. 앞으로 웹서버에 생성된 계정중에 저런식으로 comment가 불분명한 계정은 발견즉시 무조건 삭제하도록 하겠습니다. (이번 test계정도 comment가 없어서 누가 초기 생성한건지도 알수가 없는 상황입니다 ㅠ ㅠ )  저 이외에 root 암호를 알고, 계정을 생성하시는 모든분들은 꼭 지켜주시기 바랍니다. 제가 관리하는 학과서버가 예전보다 이것저것  일을 많이 하게되어서 개인적으로 뿌듯하게 생각하고 있었는데 앞으론 그만큼 관리에 좀더 신경을 써야할듯 합니다. 진행중인 사안이 몇가지 더 있는데 나머지는 정리해서 다시 올리도록 하겠습니다. 감사합니다.

힘/찬/폐/인 :: 경영정보학과 연구실 유용빈이었습니다 :)