아무래도 해킹시도로 보이는데 무슨 내용인가요?

안녕하십니까? 홍석범입니다.

언급하신 /usr/local/apache/bin/nscan은 실제 파일이 아니라 위조된 스크립트입니다. 즉 ps 실행시에는 마치 있는 것처럼 보이지만 실제 경로와 파일명은 다를 수 있습니다.

ps auxc | grep nobody 또는 apache 등으로 검색하시어 정상적인 httpd 프로세스 이외의 다른 프로세스가 있는지 확인해 보시기 바랍니다. 아울러 웹해킹 여부를 확인하시기 바랍니다.

아울러, IP 차단시에는 -A를 실행시 룰의 제일 끝에 추가되므로

iptables -I INPUT -s 1.1.1.1 -j DROP 과 같이 -I를 사용하시기 바랍니다.

감사합니다.

김양현 님의 글

페도라 코아 5입니다.

아래와 같은 메세지가 /var/log/messages에 간간히 1줄 또는 2줄 3줄씩 나오는데 무슨 내용인지를 모르겠군요.

아무래도 해킹시도로 보이는데 도대체 뭘 해킹하려는지도 모르겠고 어떤방법으로 시도하는도 모르겠군요.

gawain.soc.staffs.ac.uk 주소를 확인해보니

Non-authoritative answer:
soc.staffs.ac.uk        dname = fcet.staffs.ac.uk.
gawain.soc.staffs.ac.uk canonical name = gawain.fcet.staffs.ac.uk.
Name:   gawain.fcet.staffs.ac.uk
Address: 193.61.122.9 로 나옵니다.

Jan 23 10:32:00 spring /usr/local/apache/bin/nscan -DSSL: gethostby*.getanswer: asked for "gawain.soc.staffs.ac.uk IN A", got type "39"
Jan 23 10:39:35 spring /usr/local/apache/bin/nscan -DSSL: gethostby*.getanswer: asked for "gawain.soc.staffs.ac.uk IN A", got type "39"
Jan 23 10:39:55 spring /usr/local/apache/bin/nscan -DSSL: gethostby*.getanswer: asked for "gawain.soc.staffs.ac.uk IN A", got type "39"

그리고 iptables에 아래와 같이 조치했는데도 위와 같은 메세지가 간간히 나옵니다.

어떻게 조치해야 하고 위메세지 내용은 뭔지 아시는분 살펴 시면 감사하겠습니다.

iptables -A INPUT -s gawain.soc.staffs.ac.uk -j DROP