서비스 오픈 후 로그를 확인하고 외부로 부터의 악의적인 만행의 기록을 보고 경악하여 netstat로 전체 외부에 Open된 서비스 목록을 점검하는 도중 이상한 점을 발견하게 되었다.
[root@ProjectS ~]# netstat -atp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 1 0 ProjectS:42854 centos.at.multacom.com:http CLOSE_WAIT 2567/python
tcp 1 0 ProjectS:42852 centos.at.multacom.com:http CLOSE_WAIT 2567/python
tcp 1 0 ProjectS:42858 centos.at.multacom.com:http CLOSE_WAIT 2567/python
tcp 1 0 ProjectS:42856 centos.at.multacom.com:http CLOSE_WAIT 2567/python
tcp 1 0 ProjectS:50307 ftp.twaren.net:http CLOSE_WAIT 2567/python
'앵? 이게 뭐양 누가 python을 실행해서 다른 웹서버에 접속하고 있는거야? 이건 서버란 말야!' ㅋㅋ
한참 헤메이다 '이런 바보!' 하고 속으로 되네인후 다음의 명령을 실행한 후에야 무엇때문이었는지 알 수 있게 되었다.
[root@ProjectS ~]# ps -ef | grep 2567
root 2567 1 0 Jan04 ? 00:03:06 /usr/bin/python /usr/sbin/yum-updatesd
자동으로 Update 목록을 체크해서 필요한 Update를 수행해 주는 yum updates 데몬이 실행중이고 이것은 데몬이란 선입견이 주는 것과 달리 실제적으로는 Client로 동작하고 있었던 것이다. 가장 최근 시스템을 리부팅한 이틀전 부터 이렇게 실행되어 있다.
소스를 보니 Thread를 통해 계속 동작하도록 되어 있었다.
한가지 재미있는 점은 Update를 알려주는 서버에 CLOSE_WAIT상태로 연결을 유지하고 있다는 것이다.
이것은 조금은 의문이다.
Tags: 보안
