요즘 들어 이틀에 한 번 정도씩 내 개인 서버와 MR 서버의 로그를 확인하는데, ssh를 통한 로그인 시도가 굉장히 많이 나타나고 있음을 발견할 수 있었다.

Sep 29 00:53:23 localhost sshd[4631]: Illegal user admin from 210.123.39.198
Sep 29 00:53:24 localhost sshd[4633]: Illegal user test from 210.123.39.198
Sep 29 00:53:24 localhost sshd[4635]: Illegal user guest from 210.123.39.198
Sep 29 00:53:25 localhost sshd[4637]: Illegal user webmaster from 210.123.39.198
Sep 29 00:53:32 localhost sshd[4641]: Illegal user oracle from 210.123.39.198
Sep 29 00:53:36 localhost sshd[4643]: Illegal user library from 210.123.39.198
Sep 29 00:53:39 localhost sshd[4645]: Illegal user info from 210.123.39.198
Sep 29 00:53:41 localhost sshd[4647]: Illegal user shell from 210.123.39.198
Sep 29 00:53:42 localhost sshd[4649]: Illegal user linux from 210.123.39.198
Sep 29 00:53:42 localhost sshd[4651]: Illegal user unix from 210.123.39.198
Sep 29 00:53:42 localhost sshd[4653]: Illegal user webadmin from 210.123.39.198
Sep 29 00:53:47 localhost sshd[4657]: Illegal user test from 210.123.39.198
Sep 29 00:53:51 localhost sshd[4661]: Illegal user admin from 210.123.39.198
Sep 29 00:53:51 localhost sshd[4663]: Illegal user guest from 210.123.39.198
Sep 29 00:53:55 localhost sshd[4665]: Illegal user master from 210.123.39.198
Sep 29 00:53:55 localhost sshd[4671]: Illegal user apache from 210.123.39.198

이런 식의 로그가 엄청나게 쌓여있는데, 신기한 건 저 ip 주소다. (내 개인 서버와 MR 서버의 로그에서 나타나는 ip 주소가 같다) 저 ip 주소가 어디에 속해있는지 알아보니 국민대학교(kookmin.ac.kr)로 나오는데, 해당 서버는 ping도 먹지 않고 접속이 되지 않는다. 내 생각엔 국민대학교에서 직접 해킹 공격을 하는 것 같지는 않고 누군가 그곳을 해킹 경로로 이용하거나 ip spoofing을 했을 가능성이 높아보인다.

그리고 시간대를 잘 보면 꼭 0시에서 1시 사이에 집중되고 있다는 것을 발견할 수 있었다. 프로그램으로 자동화시켜 둔 것 같기도 하다. (cron 등에 등록했을지도 모른다)

일단은 저 ip를 막아두는 게 좋을 것 같은데, 저런 식으로 때려맞출 수 있는 형태의 id는 되도록 접속을 금지시키고 그런 id로 사용자를 만드는 것도 피하는 게 좋을 것 같다.