안녕하세요. DB관리자 분들의 고견을 부탁드립니다.
PostgreSQL 의 로그를 살피던중 1주일전부터 지속적으로(몇분간격으로) 아래와 같은 오류가 반복되서 쌓입니다.
아마도 해커의 스니핑( 계정에 대한 접속시도, 계정, 비밀번호 알아내기 시도) 로 의심됩니다.
기본계정(postgres) 접속시도시 refuse를 걸어놓았기에 could not receive data from client 에러는 그에 따른 refuse에러이고
pgstat wait timeout 에러는 아이디/비밀번호를 바꾸어서 접속시도 하는것으로 보입니다.
"pg_stat_tmp/pgstat.tmp" to "pg_stat_tmp/pgstat.stat": Permission denied
은 무엇을 시도하는 것일까요?
아래 로그이외에 이렇게 시도하는 IP를 알아내는 방법이 있나요?
인터넷서비스를 운영중이라 외부접속을 허용해야하고
MD5 보안으로 되어있는데, 이렇게 계속 스니핑 시도를 허용할시 아이디/비밀번호가 털리는거 아닌지 심히 불안합니다.
아래 공격을 어떻게 막아야 할까요?
서버는 윈도우 서버입니다.
서버차원에서 조치를 해야하는지? DB차원에서 해야하는지요?
어디서 공격을 하는지(IP) 조차 모르고 있는 상태입니다.
2019-05-08 09:25:21 KST LOG: could not rename temporary statistics file "pg_stat_tmp/pgstat.tmp" to "pg_stat_tmp/pgstat.stat": Permission denied
2019-05-08 10:24:44 KST WARNING: pgstat wait timeout
2019-05-08 10:42:07 KST WARNING: pgstat wait timeout
2019-05-08 10:59:49 KST WARNING: pgstat wait timeout
2019-05-08 11:03:49 KST WARNING: pgstat wait timeout
2019-05-08 11:24:32 KST WARNING: pgstat wait timeout
2019-05-08 11:27:32 KST WARNING: pgstat wait timeout
2019-05-08 11:47:55 KST WARNING: pgstat wait timeout
2019-05-08 11:48:35 KST WARNING: pgstat wait timeout
2019-05-08 12:05:03 KST LOG: could not receive data from client: No connection could be made because the target machine actively refused it.
|