1. 2002 년 중반 제기된 무한 트래픽 Cracknig 관련 보고 ¶
(해당 기록을 정확하게 남기지 않아, 시간순 기억 대로 기술)
- ZeroPageServer/set2002_815 로서 debian 계열의 환경을로 ZeroPageServer 세팅
- 문제 제기 : 한달후에 전산센터->용철 로 보안 권고 ip block
- 전산센터 찾아가 확인 ipblock 풀고, 점검
- 증상 : ZeroPageServer 에서 무한 데이터가 random ip 로 전송. 감시 동안 수천 packet 이상 통계 확인
- 평소 16~30% 의 전산센터 게이트 웨이 자원 99% 까지 올리는 공헌. 학교에서 외부 으로가는 네트웍 마비
- 평소 16~30% 의 전산센터 게이트 웨이 자원 99% 까지 올리는 공헌. 학교에서 외부 으로가는 네트웍 마비
- 점검 : 이상 계정 찾기, 네트웍 확인, security update
- 증상 : ZeroPageServer 에서 무한 데이터가 random ip 로 전송. 감시 동안 수천 packet 이상 통계 확인
- 다음날 NeoCoin 의 계정에서 (root 말고) 무한 트래픽 발생 프로그램 발견
- 분석 : 세팅 과정에서 설치를 위한 wu-ftp 패키지 서비스를 한달간 제공하였는데, 설치 문제로 가장 자주 사용할 NeoCoin 이 걸려 든것 같음
- 해결 : 해당 프로그램 갈무리, NeoCoin 의 암호 변경, wu-ftp 서비스 제거. 그 이후 문제 상황 사라짐
- 배운점, 알게된점
- 교내의 리눅스, 솔라리스 서버상에 크래킹이 비일비재 하다는점
- 전산센터 분들이 친절하다는 점과, 불행히 보안쪽에 지식이 부족하여 사실만을 알려주실수 있다는 점
- cracking 한 사람이, 서버상의 NeoCoin 의 data를 지운것이 아니라서, 다행 하지만 역시 불안.
- web analizer 를 설치한 계기가 되었다. ( http://zeropage.org/log ) 재미있음
- 교내의 리눅스, 솔라리스 서버상에 크래킹이 비일비재 하다는점
2.2. 2차 제기 대응 ¶
- ZeroPageServer on
- mail 관련 app 서비스 관련 막기 ( 기타 app 의 mail port )
- 2003-02-08, 09 즈음에 squid 를 이용한 proxy 서비스를 제공했다는 것을 기억. spam 샘플 몇통중 해다 suqid 사용 계정 id가 있었다는 점 기억 -> squid 동작 이후 spam신고 접수 된 것으로 가정
- 해당 프로그램 테스트. 문제 상황을로 보이는 상태 발견
- 증상 : 개인 개정에 기본 설정의 설치된 squid 2.4 stable tar 의 proxy 서비스를 최초로 사용한 후 얼마 지나지 않아, 알수 없는 메일 서버로(port 25) 데이터가 날아가는 mail rely 증상 보임
- squid 의 기본 port 를 바꾸면 이러한 증상 없어 졌음
- squid 의 기본 port 를 바꾸면 이러한 증상 없어 졌음
- 1002가 squid 관련 문제로 문서 발견. 그 동안 Server의 비교적 잦은 rebooting 때문에 문제가 드러나지 않았음.
- 해당 프로그램 테스트. 문제 상황을로 보이는 상태 발견
4. 2003. 2. 13 테스트 이후 ¶
- 문제 : 서버를 가동하고 나서 얼마 후에 spam 메일이 지속적으로 발송된다.
- 의심 되는 부분:
- 모 회원 계정의 squid 를 들수 있다. netstat 로 상태를 살피면, 기본 squid 세팅으로 proxy 를 이용하면, 상대의 smtp port인 25 번으로 계속 뭐가 발송되었다. 기본 세팅 변경후에 그 발송되는 상태가 없었다. 하지만, squid 로 이렇게 된다는 것이 보고된 사례를 찾지 못했고, stable 버전 자체에 그런 기능이 숨어 있다는 것은 생각하기 어렵다.
보통 squid를 통한 스팸릴레이는 스퀴드 8080 포트를 통해서 아이피만 바뀌고 보내는건 다른 서버에서 보내는데, 직접 25번이 나간다는건 참 이상하구요.(있을수 없는일이라 생각하시면 돼요. 스퀴드 변형 버전에서 그런 기능을 추가하기는 하는데 ^^; ) squid가 smtp랑 별 상관이 없는데, 특히 데비안 우디(?) 버전 squid패키지가 8080 통한 계정없는 외부 릴레이하고 (웹을통한)메일릴레이가 기본적으로 안되거든요. 소스로 설치했다면 모르겠네요 ^^;--동희
- 제가 위의 말을 정확하지 않게 썼습니다. 그리고, 동희씨의 말씀대로, 소스로 설치했다면 모르겠네요. 에 해당 합니다. 상대의 smtp port 25으로 데이터가 전송되고 있다는 것이었습니다. 그럼 어디선가 이 서버의 squid 기본 세팅 포트로, relay 를 계속하고 있다는 의미도 되는것 같군요. 혹은, 8080이나, 80을 사용한다는 것인데 각각, resin 과 apache가 사용하고 있어서 잘 모르겠습니다. 제가 이런 분야의 지식이 부족해서요. --NeoCoin
아 squid가 3128이 기본 포트인것 같네요 ^^; 햇갈리었어요. (8080도 쓰긴 하지만,) 상대방의 port 25번으로 간다면, 아마 squid설정으로 막을 수 있어요. 영 맘이 안놓이시면 ipfilter 프로그램으로 막으면 확실하죠.--동희
그렇다면, 이 문제가 원인이 확실한것 같군요. 테스트상 port 를 바꾸자, 정상적으로 동작하는 state 를 보여주었거든요. --NeoCoin
- 제가 위의 말을 정확하지 않게 썼습니다. 그리고, 동희씨의 말씀대로, 소스로 설치했다면 모르겠네요. 에 해당 합니다. 상대의 smtp port 25으로 데이터가 전송되고 있다는 것이었습니다. 그럼 어디선가 이 서버의 squid 기본 세팅 포트로, relay 를 계속하고 있다는 의미도 되는것 같군요. 혹은, 8080이나, 80을 사용한다는 것인데 각각, resin 과 apache가 사용하고 있어서 잘 모르겠습니다. 제가 이런 분야의 지식이 부족해서요. --NeoCoin
- 모 회원 계정의 squid 를 들수 있다. netstat 로 상태를 살피면, 기본 squid 세팅으로 proxy 를 이용하면, 상대의 smtp port인 25 번으로 계속 뭐가 발송되었다. 기본 세팅 변경후에 그 발송되는 상태가 없었다. 하지만, squid 로 이렇게 된다는 것이 보고된 사례를 찾지 못했고, stable 버전 자체에 그런 기능이 숨어 있다는 것은 생각하기 어렵다.
- 의심 되는 부분:
- 만일 현재의 squid 가 Cracking상태라면, squid 의 셋팅을 수정하더라도 여전히 똑같이 문제가 발생해야 정상일 것이다. 그런데 셋팅 변경후 그 발송되는 상태가 사라진다는 점이 더욱더 상황을 혼란스럽게 한다. 재미있는 점은, 그럼에도 가장 명확하게 기본 포트의 상황에서, 다른 메일 서버로 메일을 가는 것이 보인다는 점이다.
- 서버가 몇번 정전을 맞은 이후, squid 를 실질적으로 사용한 예는, 일요일 이다. spam이 뿌려진 정확한 날짜를 알면, 비교 할수 있지 않을까?
ZeroPageServer