보안/CentOS+Ubuntu

NCP centos 7서버 무차별 대입공격 feat.이란

lowcodingpython 2023. 5. 7. 03:01
반응형

ncp 마이크로 서버로 잠시 테스트를 진행 중 ssh 로그인에 이상이 있는 것을 느끼고 로그를 본 순간 특정 IP에서 공격이 들어오는 것을 감지했다...

 

뭐 딱 보니 무차별 대입 공격으로 공유된 자료도 여러 가지이고 해서 공격하는 IP를 차단하려고 한다. 

 

글을 쓰는 이 순간에도 계속 공격하는 이란.. 참 애정도 남다른 거 같은데 보면 볼수록 짜증 나고 로그 파일의 용량은 계속 커지고 있어 

깔끔하게 차단하고 보내주려고 합니다.

 

대충 ssh 접속해서 로그를 확인해 보면 아래 사진과 같이 각 나라에서 x병을 하고 있는 것을 볼 수 있습니다. 

 

제가 사용한 명령어는 아래와 같으며 

sudo journalctl _COMM=sshd | grep "Accepted\|Failed"

간단하게 보자면 시스템 로그를 확인하고 comm 필터링해서 sshd 데몬만 확인 grep로 연결 실패를 확인할 수 있는 명령어입니다.

무차별-대입공격
무차별대입공격리스트

root를 열어둔 게 잘못이지만 ncp라서 상관없겠지 하는 생각으로 나뒀는데 역시가 역시입니다. 

 

이후 아래와 같이 centos 7 방화벽에서 차단

 

firewall을 통해서 특정 아이피 103.215.223.148로 들어오는 모든 트래픽에 대해서 차단을 해주었습니다. 

firewall-특정-아이피-차단

[root@ncp-centos-7 ~]# sudo firewall-cmd --add-rich-rule='rule family="ipv4" source address="103.215.223.148" reject'
success
[root@ncp-centos-7 ~]# sudo firewall-cmd --reload

 

하지만 로그를 보면 근본적인 문제는 root 접근을 허용하고 있다는 점에서 문제가 생기는 거 같습니다.

 

보안에 안일했던 자신을 뉘우치면서 ssh의 root 접속을 차단하겠습니다.

sudo vi /etc/ssh/sshd_config


PermitRootLogin yes 줄을 찾아 PermitRootLogin no로 변경합니다.

sshd의 서비스를 재시작합니다.

위에 작업을 통해서 더 이상 root 접근이 불가하게 되었으며 103의 아이피 또한 차단되었습니다.

IP-차단확인

무차별 대입공격에 대처하는 방법은 여러 가지가 있지만 

역시 root가 열려 있는지 확인하는 게 제일 좋습니다. 

반응형