ssh 공격 시도 관련 문의

서버/유선/무선 네트워크 설정에 관한 문제 해결(웹브라우저와 관련한 부분은 소프트웨어나 멀티미디어/코덱 게시판으로 문의하세요).

Moderator: Dry8r3aD

Post Reply
gyatto
Posts: 2
Joined: 2020/04/08 Wed 12:10 am

ssh 공격 시도 관련 문의

Post by gyatto » 2020/04/08 Wed 12:17 am

안녕하세요.

제 ubuntu 서버에서 다른 서버로 무작위 pw 로 ssh 접속 시도를 한다는 report를 받았습니다. (aws ec2)
무작위 접속 시도를 하는듯 한데 해결방안을 모르겠습니다.

virous scan tool(clamav) 설치해서 일부 scan 해봤지만 감염은 없습니다.
(system 파일 영역은 스캔 해보지 않았습니다. )

몇가지 해결 방안을 시도 해보았는데 궁극적으로는 원인을 찾는게 좋을것 같아서 질문 드립니다.
*이런경우 ssh 접속을 시도하는 놈을 찾을 방법이 없을까요?
*제 서버에서 ssh 자체를 막는 방법은 없을까요?
*network outbound 시도하는 애들 모두 로깅을 한다던지 하는 방식이 가능할까요?
*aws ec2 outbound 룰에서 http 외에 모두 막는 방법은 어떨까요?


전문가 님들의 조언 부탁 드립니다.
감사합니다.

User avatar
황병희
Posts: 807
Joined: 2009/10/18 Sun 1:47 am
Contact:

Re: ssh 공격 시도 관련 문의

Post by 황병희 » 2020/04/08 Wed 11:08 am

gyatto wrote:제 ubuntu 서버에서 다른 서버로 무작위 pw 로 ssh 접속 시도를 한다
무슨 뜻인지요? 선생의 우분투 서버가 뚫렸다는 뜻인가요?

[우분투 18.04 파여폭스 나비에서 적었어요~]
^고맙습니다 감사합니다_^))//

gyatto
Posts: 2
Joined: 2020/04/08 Wed 12:10 am

Re: ssh 공격 시도 관련 문의

Post by gyatto » 2020/04/08 Wed 7:00 pm

네 뚫린 것으로 보고 있습니다.

network 보안팀으로부터 메시지를 받았습니다.

제 서버에서 다른 서버로 ssh 로그인을 시도 하고 있다고. (잘못된 user 정보로 여러차례 시도)

어떤 daemon이 떠서 시도하는지, 누군가 user 권한을 취득해서 직접 시도 하는것인지 정확히는 모르겠습니다.

제 서버에서 다른 서버로... 여러차례(수십회 이상) ssh 접속을 시도 하고 있습니다 .

User avatar
황병희
Posts: 807
Joined: 2009/10/18 Sun 1:47 am
Contact:

Re: ssh 공격 시도 관련 문의

Post by 황병희 » 2020/04/08 Wed 10:57 pm

gyatto wrote:
2020/04/08 Wed 7:00 pm
네 뚫린 것으로 보고 있습니다.
network 보안팀으로부터 메시지를 받았습니다.
뚫렸으면 여기서 도와드릴 수 있는게 딱히 없을거 같아요,,,

네트워크 책임자 또는
선생께서 실제 거주하시는 또는 일하시는곳 주변에서 신뢰할 수 있는분께 조언을 구하시는게 좋을거 같아요.

잘 해결되시길 바랄께요.

황병희 드림

[크롬북에서 적었습니다]
^고맙습니다 감사합니다_^))//

시드래곤
Posts: 3
Joined: 2020/04/24 Fri 2:23 pm

Re: ssh 공격 시도 관련 문의

Post by 시드래곤 » 2020/04/24 Fri 2:29 pm

뚫린것은 장담하지는 못하나 일반적인 해킹시도 방법으로 보입니다.
포트 스캔 후 열려 있는 well-known 포트에 대해서는 무작위 대입하여 접근을 시도 합니다.
일반적으로 AWS EC2에서 기본 계정으로 사용하는 방식은 Private key 방식이므로, key 파일이 도난당하지 않는이상은 접근이 불가능합니다.
가능하면 보안설정에서 외부의 22번 포트를 차단하는 방법을 권장 드립니다.

Post Reply