한국리눅스유저그룹 > 리눅스 데탑/서버/프로그래밍 지식인QA > yum update 후 웹접속불가 및 해킹 의심 파일

안녕하세요 질문이 두가지 인데요... 첫째는.... centos 5.3 을 사용하고 있습니다. 모든 페키지 들은 yum 으로 관리 하고 있구요. 이번에 서버 한대 더 늘려 서버 두대를 rsync 동기화 했습니다. 기존에 있던 한대는 정상적으로 잘 돌아 가고 있습니다. 하지만 새로 늘린 서버에서 yum 을 사용하여 모든 페키지를 업데이트 시키고 나서 부터 웹 접속이 되지 않습니다. 정상적으로 httpd 데몬은 떠 있구요 80포트 정상적으로 LISTEN 하고 있습니다. (이전 동기화나 업데이트 전에는 웹이 정상적으로 열렸습니다.) 방화벽도 내렸구요 netstat 로 확인시 SYN_REVC 도 없습니다. virtual 도 경로 이상 없이 세팅 되어 있구요 httpd.conf 도 확인했구요 apache 가 syntex OK 떨어 집니다. 업데이트시 커널도 업데이트 되었는데 kernel-2.6.18-92.el5 --> kernel-2.6.18-128.2.1.el5 로 업데이트 되었습니다. ssh는 접속이 가능한데 오로지 웹접속만 되지 않네요.. message 파일 확인해 봤는데요 메시지 파일에는 웹접속이 되지 않는다는 별다른 메세지는 없구요 다만 간혹 메시지기록이 1~2시간 정도 쌓이지 않다가 다시 쌓이는 현상이 발생하네요 이유를 모르겠습니다. 해당 접속 도메인에 대한 로그는 접속불가 후 access_log 나 error_log 에는 남지 않고 있구요 단지 해당 도메인이 아닌 그냥 error_log 에는 ------------------------------------------------------------------------ [Wed Jul 22 04:47:23 2009] [notice] caught SIGTERM, shutting down [Wed Jul 22 04:47:23 2009] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin /suexec) [Wed Jul 22 04:47:23 2009] [notice] Digest: generating secret for digest authent ication ... [Wed Jul 22 04:47:23 2009] [notice] Digest: done [Wed Jul 22 04:47:24 2009] [notice] Apache/2.2.3 (Red Hat) configured -- resumin g normal operations -------------------------------------------------------------------------------- 이런 기록이 남구요 그런에 access_log 에 이상한 기록들이 있네요 -------------------------------------------------------------------------------- 60.1.58.59 - - [21/Jun/2009:21:19:28 +0900] "GET http://www.sina.com.cn/ HT TP/1.1" 200 15851 "-" "Mozilla/4.0 (compatible; MSIE 4.01; W indows 98)" 115.171.140.77 - - [21/Jun/2009:22:57:53 +0900] "GET http://www.sina.com.cn / HTTP/1.1" 200 15851 "-" "Mozilla/4.0 (compatible; MSIE 4.0 1; Windows 98)" 120.82.131.128 - - [22/Jun/2009:06:18:31 +0900] "GET http://www.sina.com.cn / HTTP/1.1" 200 15851 "-" "Mozilla/4.0 (compatible; MSIE 4.0 1; Windows 98)" 125.90.100.48 - - [22/Jun/2009:08:51:09 +0900] "GET http://www.sina.com.cn/ HTTP/1.1" 200 15851 "-" "Mozilla/4.0 (compatible; MSIE 4.01 ; Windows 98)" 218.19.34.171 - - [22/Jun/2009:10:44:22 +0900] "GET http://119.147.16.41:80 90/w?O=-9940&ID=944903548&S=944903548wx3v&K=WsmUEiJQ&C=al0 HTTP/ 1.1" 404 279 "-" "Mozilla/4.0 (compatible; MSIE 4.01; Window s 98)" 62.212.132.78 - - [22/Jun/2009:13:40:24 +0900] "GET //phpMyAdmin/main.php H TTP/1.1" 404 294 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Win dows 98)" 62.212.132.78 - - [22/Jun/2009:13:40:25 +0900] "GET //phpmyadmin/main.php H TTP/1.1" 404 294 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Win dows 98)" 62.212.132.78 - - [22/Jun/2009:13:40:25 +0900] "GET //pma/main.php HTTP/1.1 " 404 287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98 )" 62.212.132.78 - - [22/Jun/2009:13:40:26 +0900] "GET //admin/main.php HTTP/1 .1" 404 289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 62.212.132.78 - - [22/Jun/2009:13:40:27 +0900] "GET //dbadmin/main.php HTTP /1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Window s 98)" 62.212.132.78 - - [22/Jun/2009:13:40:27 +0900] "GET //mysql/main.php HTTP/1 .1" 404 289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 62.212.132.78 - - [22/Jun/2009:13:40:28 +0900] "GET //php-my-admin/main.php HTTP/1.1" 404 296 "-" "Mozilla/4.0 (compatible; MSIE 6.0; W indows 98)" 62.212.132.78 - - [22/Jun/2009:13:40:28 +0900] "GET //myadmin/main.php HTTP /1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Window s 98)" 62.212.132.78 - - [22/Jun/2009:13:40:29 +0900] "GET //PHPMYADMIN/main.php H TTP/1.1" 404 294 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Win dows 98)" 61.147.112.72 - - [22/Jun/2009:16:24:44 +0900] "GET http://wap.hao123.com/ HTTP/1.1" 200 15851 "-" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 98)" 207.70.25.57 - - [22/Jun/2009:17:14:59 +0900] "GET / HTTP/1.1" 200 158 51 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:0.9.4) Gecko/20011128 Netscape6/6.2.1" -------------------------------------------------------------------------------- 이런 기록들이 있는데 혹시 해킹 당한 건가요? 위쪽에 php관련 파일들은 서버에는 없는 파일 들입니다. 하지만 -------------------------------------------------------------------------------- http://119.147.16.41:8090/w?O=-9940&ID=944903548&S=944903548wx3v&K=W smUEiJQ&C=al0 HTTP/1.1" 404 279 "-" "Mozilla/4.0 (compat ible; MSIE 4.01; Windows 98)" -------------------------------------------------------------------------------- 이런것들은 뭔지 이런게 찜찜 합니다. 들어가서 파일 받아 보니까 xml 로 작성된 파일 하나가 -------------------------------------------------------------------------------- <card id='index' title='幻想西游wml'> <p> <img src='/images/moonlight/main/01.gif' alt='幻想西&#x6e38 ;'/><br/> <img src='/images/moonlight/main/01.gif' alt='幻想西&#x6e38 ;'/><br/> <img src='/images/moonlight/main/01.gif' alt='幻想西&#x6e38 ;'/><br/> -------------------------------------------------------------------------------- 이런 형태로 쭉 있던데 이것도 찜찜하구요
두번째는.... 메시지 내용에 관한건데요 도무지 무슨 내용인지 감을 못잡겠습니다. 업데이트 전에 쌓였던 메시지 내용입니다. -------------------------------------------------------------------------------- Jul 17 12:55:04 211008134084 kernel: __ratelimit: 9059 callbacks suppressed Jul 17 12:55:04 211008134084 kernel: Neighbour table overflow. Jul 17 12:55:04 211008134084 last message repeated 9 times Jul 17 12:55:09 211008134084 kernel: __ratelimit: 9332 callbacks suppressed Jul 17 12:55:09 211008134084 kernel: Neighbour table overflow. Jul 17 12:55:09 211008134084 last message repeated 9 times Jul 17 12:55:14 211008134084 kernel: __ratelimit: 9226 callbacks suppressed Jul 17 12:55:14 211008134084 kernel: Neighbour table overflow. Jul 17 12:55:14 211008134084 kernel: Neighbour table overflow. Jul 17 12:55:14 211008134084 kernel: Redirect from yy.zz.46.2 on eth0 about yy.z z.224.41 ignored. Jul 17 12:55:14 211008134084 kernel: Advised path = 211.8.XXX.XX -> yy.zz.2 24.41 Jul 17 12:55:14 211008134084 kernel: Neighbour table overflow. Jul 17 12:55:14 211008134084 last message repeated 6 times -------------------------------------------------------------------------------- 이런메시지가 반복적으로 쌓이고 있는데요 -------------------------------------------------------------------------------- Jul 17 12:55:09 211008134084 kernel: __ratelimit: 9332 callbacks suppressed Jul 17 12:55:09 211008134084 kernel: Neighbour table overflow. Jul 17 12:55:09 211008134084 last message repeated 9 times -------------------------------------------------------------------------------- 이게 무슨 의미인지 어떻게 해결하는지 궁금하구요 -------------------------------------------------------------------------------- Jul 17 12:55:14 211008134084 kernel: Redirect from yy.zz.46.2 on eth0 about yy.z z.224.41 ignored. Jul 17 12:55:14 211008134084 kernel: Advised path = 211.8.XXX.XX -> yy.zz.2 24.41 -------------------------------------------------------------------------------- 이거 같은 경우 제가 redirect 나 forword 걸어 논건 없습니다. 211.8.XXX.XX 만 제쪽서버 아이피 이고 나머지 아이피 들은 모르는 아이피 들입니다. 이거또한 무슨 의미인지 어떻게 해결할수 있는지요? 그 밑은로 다시 -------------------------------------------------------------------------------- Jul 17 12:55:09 211008134084 kernel: __ratelimit: 9332 callbacks suppressed Jul 17 12:55:09 211008134084 kernel: Neighbour table overflow. -------------------------------------------------------------------------------- 이런게 쌓이다가 다시 또 아까와는 다른곳으로 -------------------------------------------------------------------------------- Jul 17 12:55:39 211008134084 kernel: Redirect from aa.bbb.48.5 on eth0 about aa. bbb.48.6 ignored. Jul 17 12:55:39 211008134084 kernel: Advised path = 211.8.XXX.XX -> aa.bbb. 128.38 -------------------------------------------------------------------------------- 이렇게 아까와는 다른곳으로 redirect 걸립니다. 몇일째 이거 여기저기찾아 보며 고민하고 있습니다. 제발 부탁 드립니다.

[포인트 정책] :: 글읽기 : -10점(글쓴이는 포인트 받음), 글쓰기 : +0점, 코멘트 : +10점, 다운로드 : -200점 질문시 200점이상의 포인트 투자가 필요, 답변이 채택되면 70%의 포인트 받음
	총조회수 : 13,815,830회 \| 전체글 : 3,600건 \| 질문글 : 860건 \| 코멘트 답변글 : 2,740건


번호	분류	제목	상태	글쓴이	PO	날짜	조회

	LINUX	[필독]지식인 게시판 - 질문시 알아둘 주의… (30)		김태용 PO : 188,338	200	12-30	348066

860	LINUX	bacula 백업 서비스		김태욱 PO : 216	200	10-01	18426

859	LINUX	debian 원격 CPU 사용률 검사 (6)		김태욱 PO : 216	200	09-30	17702

858	LINUX	centos 통째로 옮기기		정원식 PO : 60	200	06-06	16258

857	LINUX	Tomcat 에 SSL 인증서 설치 질문 드려요!!		이상열 PO : 2,346	200	05-03	23024

856	LINUX	리눅스 centos사용자 ssh linux@localhost 패스워드… (1)		김명수 PO : 130	200	02-24	16972

855	LINUX	리눅스 iptables 질문입니다! (2)		이상열 PO : 2,346	200	02-14	14789

854	PHP	Unknown: failed to open stream 에러 입니다 ㅠㅠ (4)		박진원 PO : 348	200	01-14	16281

853	LINUX	ssh jps가 실행이 안되네요.. (1)		황세규 PO : 310	200	10-08	15521

852	LINUX	데비안 부팅 중 오류에 대해 질문드립니다		원동준 PO : 20	200	09-23	14304

851	LINUX	리눅스 마스커레이드 질문입니다.. (2)		송재영 PO : 300	200	09-05	14383

850	LINUX	리눅스 초보인데요 스크립트에서 파일 업로… (3)		이현섭 PO : 268	200	09-04	15806

849	LINUX	mount시 kernel painc에러가 뜹니다. (1)		최윤희 PO : 98	200	07-10	13372

848	LINUX	캐싱네임서버 구축에서 질문이 있습니다. (1)		주대현 PO : 2,726	300	06-30	15630

847	LINUX	통짜 LVM lv볼륨 축소하기 질문입니다. (1)		임광현 PO : 258	200	06-12	22401

846	LINUX	리눅스 탐색기(?)를 만들어보는 도중에 질문…		박정기 PO : 120	200	06-09	19408

1 2 3 4 5 6 7 8 9 10

Remember GIVE First and then TAKE After!