현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

악성 이용자 IP 차단 워떻게 해야 하나요 ㅜㅜ

망치의 이미지
글쓴이: 망치 / 작성시간: 화, 2006/02/07 - 3:28오후

계속 아이피 차단을 해도 금방 다른 아이피로 바꿔서 나타납니다 ㅡ ㅡ;

프록시를 쓰는건지.. 아파치에 deny 목록만 현재 수십개입니다..

돌겠습니다 ㅡ ㅡ; 이녀석 어떻게 처리해야 하나요;

Forums: 
설치 및 활용 QnA
망치의 이미지

글쓴이: 망치 / 작성시간: 화, 2006/02/07 - 4:47오후

아.. 끔찍합니다. 자동으로 프록시 찾아서 계속 아이피 바꿔주는 유틸이라도 있나..

끈질긴놈입니다..

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

OOv의 이미지

글쓴이: OOv / 작성시간: 화, 2006/02/07 - 4:49오후

IP를 바꿔서 접속한다면... 포트 번호를 바꾸거나...
그 대역을 막아버리시거나 :twisted:

아직도...

망치의 이미지

글쓴이: 망치 / 작성시간: 화, 2006/02/07 - 4:56오후

웹서버 포트를 막을 순 없죠 -_-;

Quote:
deny from 195.175.37.8
deny from 58.225.146.14
deny from 202.234.223.149
deny from 212.175.113.52
deny from 195.175.37.71

이런식으로 현재 수십개 진행중입니다.. 대역을 막는건 힘들죠;

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

OOv의 이미지

글쓴이: OOv / 작성시간: 화, 2006/02/07 - 4:59오후

지능범이군요...
원하는게 무엇인지 물어보세요..
---
죄송합니다. 딱히 답이 안나와서...
IP를 바꿔서 접속하는게 아니구 다른 IP의 사용자가 접속하는것이
아닐까요?
IP를 바꾼다면 비슷비슷한 마지막 자리만 틀린 IP일텐데
그러면 그 마지막 대역만 막으면 되지않을까 하는 엉뚱한
생각입니다..

아직도...

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 화, 2006/02/07 - 5:01오후

페이지에 client 쿠키를 심어서 그 쿠키를 벤하는쪽을 함 고려해보세요

망치의 이미지

글쓴이: 망치 / 작성시간: 화, 2006/02/07 - 5:10오후

원하는게 없는놈입니다. -_-; 단순히 의미없는 욕짓거리로 테러중이에요;
죄다 프록시 같습니다..

쿠키밴이 괜찮을것같군요. 시도해보겠습니다.

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

망치의 이미지

글쓴이: 망치 / 작성시간: 화, 2006/02/07 - 5:21오후

구운 쿠키를 아파치 설정 단에서 확인해서 차단시키려 하는데 아파치 지시어중 쿠키를 확인하는 지시어가 떠오르질 않습니다 ㅡ ㅡ;;

열심히 메뉴얼 뒤지는중입니다 ㅡ.,ㅡ;

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

망치의 이미지

글쓴이: 망치 / 작성시간: 화, 2006/02/07 - 5:28오후

쿠키가... 프록시 바꾸면서 타고 들어오면 무효화 되나요? ㅡ.,ㅡ; 이상하다..
쿠키로 막은다음 동작하는거 테스트까지 했는데, 이녀석 또 글 썼습니다. -_-;
뭐지;;

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

pool007의 이미지

글쓴이: pool007 / 작성시간: 화, 2006/02/07 - 5:48오후

아이피를 보니 프록시 써서 들어오는 것 같습니다. 욕설을 남기는 사람이 얼마나 지능적으로 공격 하는가에 따라서 쿠키는 소용없을 수도 있습니다.

프록시를 쓴다면 프록시 목록을 보고 최대한 다 막아버리거나, 혹은 프록시를 타고 들어올때 추가되는 HTTP 헤더를 보고 차단할 수도 있겟지만 가장 좋은 방법은 whois 에서 나오는 abuse 담당자에게 메일을 보내는 것입니다. 그리고 그 담당자에게 메일을 보낸 사실을 홈페이지에 게시하세요. 또 사이버 수사대에 신고하세요.

저역시 단순 욕설로 인해 사이트 관리에 어려움이 있었습니다. 제 경우에는 일본에서 들어오는 것이었고, 일본측 abuse 담당자에게 메일을 보내어 협조 요청을 하는 중이라는 사실을 게시하였더니 단순 욕설 게시가 사라지더군요...

도움이 되시기를.

--
Passion is like genius; a miracle.

망치의 이미지

글쓴이: 망치 / 작성시간: 화, 2006/02/07 - 6:17오후

현재 쿠키가 효과를 보는것인지 글이 안올라오고 있습니다. 적용 직전에 마지막으로 쓴 글이었는가 봅니다..

그나저나 이거 신경쓰기 시작하니 시간 무지잡아먹는군요 ㅡㅡ...

또 문제가 생기면 pool007 님 말씀대로 해봐야겠습니다.

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 화, 2006/02/07 - 7:13오후

인터넷뒤져보면
자동으로 파이어월에 ip입력해주는
스크립이있으니 그거 찾아서 쓰세여

망치의 이미지

글쓴이: 망치 / 작성시간: 수, 2006/02/08 - 4:56오전

Anonymous wrote:
인터넷뒤져보면
자동으로 파이어월에 ip입력해주는
스크립이있으니 그거 찾아서 쓰세여

악성이용자 IP 를 인공지능으로 찾아내서 차단시켜주나요? ㅡ.,ㅡ;;;

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

OOv의 이미지

글쓴이: OOv / 작성시간: 수, 2006/02/08 - 10:10오전

자동으로 ip를 입력해준다는게...
접속을 몇번 하면 막 막고 그러나요 -_-
무섭다..

아직도...

warpdory의 이미지

글쓴이: warpdory / 작성시간: 수, 2006/02/08 - 10:25오전

snort 사용법을 익혀 보세요.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

shyxu의 이미지

글쓴이: shyxu / 작성시간: 수, 2006/02/08 - 1:13오후

그냥
가입해야만 글을 쓸 수 있게 해놓고
아이디를 차단하세요.

Since 2003.
지금은 맥유저...
---
http://jtjoo.com

ironiris의 이미지

글쓴이: ironiris / 작성시간: 수, 2006/02/08 - 1:25오후

쿠키.... 지우고 접속하면 어쩌죠? --;;;;

jongwooh의 이미지

글쓴이: jongwooh / 작성시간: 수, 2006/02/08 - 1:52오후

shyxu wrote:
그냥
가입해야만 글을 쓸 수 있게 해놓고
아이디를 차단하세요.

그럼 글 한번 쓸때마다 가입할지도.

you must know the power of dark side.

kfmes의 이미지

글쓴이: kfmes / 작성시간: 수, 2006/02/08 - 2:20오후

게시물 올리는 과정에서
특정단어 필터링을 해두는것도 방법일듯 싶네요

----------------------------------------

망치의 이미지

글쓴이: 망치 / 작성시간: 수, 2006/02/08 - 3:13오후

효과 톡톡히 보고 있습니다. :lol: :lol: :lol: :lol:

[Wed Feb 08 13:13:06 2006] [error] [client 212.138.47.15] client denied by server configuration: 
[Wed Feb 08 13:13:19 2006] [error] [client 165.243.0.230] File does not exist: 
[Wed Feb 08 13:13:43 2006] [error] [client 201.17.219.63] client denied by server configuration: 
[Wed Feb 08 13:13:58 2006] [error] [client 212.138.113.16] client denied by server configuration: 
[Wed Feb 08 13:14:08 2006] [error] [client 212.138.47.14] client denied by server configuration: 
[Wed Feb 08 13:14:17 2006] [error] [client 165.243.0.230] File does not exist: 
[Wed Feb 08 13:14:22 2006] [error] [client 212.138.47.15] client denied by server configuration: 
[Wed Feb 08 13:14:25 2006] [error] [client 165.243.0.230] File does not exist: 
[Wed Feb 08 13:14:42 2006] [error] [client 165.243.0.230] File does not exist: 
[Wed Feb 08 13:14:48 2006] [error] [client 203.162.27.81] client denied by server configuration: 
[Wed Feb 08 13:14:58 2006] [error] [client 212.138.47.18] client denied by server configuration: 
[Wed Feb 08 13:15:07 2006] [error] [client 212.138.47.29] client denied by server configuration: 
[Wed Feb 08 13:15:30 2006] [error] [client 212.138.47.22] client denied by server configuration: 
[Wed Feb 08 13:15:48 2006] [error] [client 61.218.69.227] client denied by server configuration: 
[Wed Feb 08 13:15:57 2006] [error] [client 212.138.47.18] client denied by server configuration: 
[Wed Feb 08 13:16:06 2006] [error] [client 195.205.151.25] client denied by server configuration: 
[Wed Feb 08 13:16:27 2006] [error] [client 212.138.47.21] client denied by server configuration: 
[Wed Feb 08 13:16:36 2006] [error] [client 212.138.47.17] client denied by server configuration: 
[Wed Feb 08 13:16:48 2006] [error] [client 212.138.47.14] client denied by server configuration: 
[Wed Feb 08 13:17:00 2006] [error] [client 212.138.47.24] client denied by server configuration: 
[Wed Feb 08 13:17:09 2006] [error] [client 203.115.1.134] client denied by server configuration: 
[Wed Feb 08 13:19:39 2006] [error] [client 61.220.150.2] client denied by server configuration: 
[Wed Feb 08 14:12:42 2006] [error] [client 203.115.1.134] client denied by server configuration: 
[Wed Feb 08 14:29:11 2006] [error] [client 129.237.203.59] File does not exist: 
[Wed Feb 08 14:42:33 2006] [error] [client 137.186.193.180] client denied by server configuration: 
[Wed Feb 08 14:42:40 2006] [error] [client 125.241.69.66] client denied by server configuration: 
[Wed Feb 08 14:42:50 2006] [error] [client 202.88.129.254] client denied by server configuration: 
[Wed Feb 08 14:42:59 2006] [error] [client 212.138.47.15] client denied by server configuration: 
[Wed Feb 08 14:43:09 2006] [error] [client 212.138.47.24] client denied by server configuration: 
[Wed Feb 08 14:43:22 2006] [error] [client 61.135.151.190] client denied by server configuration: 
[Wed Feb 08 14:43:26 2006] [error] [client 195.244.143.71] client denied by server configuration: 
[Wed Feb 08 14:43:36 2006] [error] [client 212.138.47.14] client denied by server configuration: 
[Wed Feb 08 14:43:45 2006] [error] [client 212.138.47.14] client denied by server configuration: 
[Wed Feb 08 14:43:52 2006] [error] [client 132.248.103.131] client denied by server configuration: 
[Wed Feb 08 14:44:10 2006] [error] [client 200.71.42.38] client denied by server configuration: 
[Wed Feb 08 14:44:21 2006] [error] [client 212.138.113.16] client denied by server configuration: 
[Wed Feb 08 14:44:29 2006] [error] [client 212.138.47.29] client denied by server configuration: 
[Wed Feb 08 14:44:39 2006] [error] [client 212.138.47.24] client denied by server configuration: 
[Wed Feb 08 14:44:51 2006] [error] [client 203.197.216.82] client denied by server configuration: 
[Wed Feb 08 14:44:56 2006] [error] [client 212.138.47.21] client denied by server configuration: 
[Wed Feb 08 14:45:03 2006] [error] [client 61.135.151.114] client denied by server configuration: 
[Wed Feb 08 14:45:12 2006] [error] [client 212.138.47.17] client denied by server configuration: 
[Wed Feb 08 14:45:21 2006] [error] [client 129.71.62.4] client denied by server configuration: 
[Wed Feb 08 14:47:44 2006] [error] [client 212.138.113.16] client denied by server configuration: 
[Wed Feb 08 14:48:21 2006] [error] [client 212.138.113.16] client denied by server configuration: 
[Wed Feb 08 14:52:13 2006] [error] [client 212.138.47.15] client denied by server configuration: 
[Wed Feb 08 14:52:14 2006] [error] [client 212.138.47.15] client denied by server configuration: 
[Wed Feb 08 14:52:49 2006] [error] [client 212.138.47.15] client denied by server configuration: 
[Wed Feb 08 14:52:51 2006] [error] [client 212.138.47.15] client denied by server configuration: 
[Wed Feb 08 14:52:51 2006] [error] [client 212.138.47.14] client denied by server configuration: 
[Wed Feb 08 14:52:51 2006] [error] [client 212.138.47.24] client denied by server configuration: 
[Wed Feb 08 14:53:44 2006] [error] [client 212.138.47.24] client denied by server configuration: 
[Wed Feb 08 14:53:49 2006] [error] [client 212.138.47.14] client denied by server configuration: 
[Wed Feb 08 14:54:26 2006] [error] [client 212.138.47.14] client denied by server configuration: 
[Wed Feb 08 14:54:39 2006] [error] [client 212.138.47.14] client denied by server configuration: 
[Wed Feb 08 14:54:45 2006] [error] [client 212.138.47.15] client denied by server configuration: 
[Wed Feb 08 14:55:57 2006] [error] [client 212.138.47.20] client denied by server configuration: 
[Wed Feb 08 14:56:24 2006] [error] [client 212.138.47.15] client denied by server configuration: 
[Wed Feb 08 14:56:32 2006] [error] [client 212.138.47.15] client denied by server configuration: 
[Wed Feb 08 14:58:04 2006] [error] [client 212.138.47.15] client denied by server configuration: 
[Wed Feb 08 14:58:51 2006] [error] [client 212.138.47.20] client denied by server configuration: 
[Wed Feb 08 15:05:14 2006] [error] [client 212.138.47.14] client denied by server configuration: 
[Wed Feb 08 15:06:03 2006] [error] [client 212.138.47.24] client denied by server configuration: 
[Wed Feb 08 15:06:07 2006] [error] [client 212.138.47.24] client denied by server configuration: 
[Wed Feb 08 15:07:01 2006] [error] [client 212.138.47.15] client denied by server configuration:

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

망치의 이미지

글쓴이: 망치 / 작성시간: 수, 2006/02/08 - 3:14오후

아마 쿠키를 이용해 막은줄 모르는듯합니다..

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

망치의 이미지

글쓴이: 망치 / 작성시간: 수, 2006/02/08 - 3:40오후

아니.. 말하기가 무섭게 또 글을 써대고 있습니다. 눈치채고 쿠키를 삭제해가면서 들어오는건지.. 슬슬 나름대로 재미(?)있어지는군요.. :?

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

jongwooh의 이미지

글쓴이: jongwooh / 작성시간: 수, 2006/02/08 - 5:18오후

도대체 어떤 게시판(또는 블로그) 입니까? 구경좀.

you must know the power of dark side.

OOv의 이미지

글쓴이: OOv / 작성시간: 수, 2006/02/08 - 8:11오후

아마 이 글을 보고서 노리는건가 :twisted:
망치님에게 개인적인 관심이 있나 봅니다 :oops:

아직도...

망치의 이미지

글쓴이: 망치 / 작성시간: 목, 2006/02/09 - 12:43오후

푸하.. 이런 사이트를 통해서 접속을 시도하는 녀석까지 등장했습니다. :cry:

http://j2k.naver.com/j2k.php/

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

ㅡ,.ㅡ;;의 이미지

글쓴이: ㅡ,.ㅡ;; / 작성시간: 목, 2006/02/09 - 1:50오후

근데 님은 어떻게..그사람이 그사람인지 알죠?
님이 알고 있는것을 서버에도 그대로 적용하세요..


----------------------------------------------------------------------------

망치의 이미지

글쓴이: 망치 / 작성시간: 목, 2006/02/09 - 3:56오후

글 쓸때 사용하는 닉네임이 항상 같기 때문에 알 수 있는데, 해당 닉네임을 아예 사용하지 못하게 하는건 닉네임을 바꿔서 올리기 시작할경우 그녀석인지 파악이 힘들어지는 문제가 있습니다.. 게시판 특성상 회원가입이 필요 없는 익명게시판의 성격이거든요.

그리고 번역사이트 통해서 접속한 녀석은 무한 리프레쉬로 사이트를 느려지게 만들어서 차단했었던 또다른 녀석입니다. -_-;

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

kfmes의 이미지

글쓴이: kfmes / 작성시간: 목, 2006/02/09 - 4:03오후

어떤사이트인지 궁금해지는군요 8)

----------------------------------------

irondog의 이미지

글쓴이: irondog / 작성시간: 목, 2006/02/09 - 4:04오후

이 게시물 아주 흥미진진 한데요. ㅎㅎㅎ
무한 리프래쉬는 간단하게 막는법이 있던데 기억이 잘 안나네요. ^^;

망치의 이미지

글쓴이: 망치 / 작성시간: 목, 2006/02/09 - 4:45오후 

[Thu Feb 09 15:04:52 2006] [error] [client 220.84.73.89] File does not exist: /home/*/www/_vti_bin
[Thu Feb 09 15:04:52 2006] [error] [client 220.84.73.89] File does not exist: /home/*/www/MSOffice
[client 211.187.52.207] script '/home/*/www/_vti_inf.html' not found or unable to stat
[Thu Feb 09 15:58:24 2006] [error] [client 211.187.52.207] File does not exist: /home/*/www/_vti_bin
[Thu Feb 09 16:17:02 2006] [error] [client 220.84.73.89] File does not exist: /home/*/www/_vti_bin
[Thu Feb 09 16:17:02 2006] [error] [client 220.84.73.89] File does not exist: /home/*/www/MSOffice

윈도우 서버에 대한 해킹시도인듯 한데, 저게 바이러스 감염에 의한건지 의도적인 해킹시도인질 모르겠군요..;

ps. 로그중에 [client 211.187.52.207] script 요렇게 표시된건 다른 로그랑 좀 다른데.. 무슨 의미인가요?

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

망치의 이미지

글쓴이: 망치 / 작성시간: 목, 2006/02/09 - 8:03오후

irondog wrote:
이 게시물 아주 흥미진진 한데요. ㅎㅎㅎ
무한 리프래쉬는 간단하게 막는법이 있던데 기억이 잘 안나네요. ^^;

생각나면 꼭 알려주세요 :)

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

다즐링의 이미지

글쓴이: 다즐링 / 작성시간: 금, 2006/02/10 - 12:09오전

아파치의 mod_throttle 이나 mod_bandwidth 로 될껍니다.

분당 몇회가능 머 이런거 있습니다.

------------------------------------------------------------------------------------------------
Life is in 다즐링

망치의 이미지

글쓴이: 망치 / 작성시간: 금, 2006/02/10 - 7:18오전

아파치2라 mod_throttle 은 사용하지 못하구요.. bandwidth 는 모르겠군요.. 2 용이 있나요?

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

피곤해의 이미지

글쓴이: 피곤해 / 작성시간: 금, 2006/02/10 - 9:46오전

이해가 잘 안되는 부분이 있는데요..

[Wed Feb 08 15:07:01 2006] [error] [client 212.138.47.15] client denied by server configuration:

이런 로그가 나오려고 아파치쪽에서 거부가 되어야 하는데..
클라이언트에 쿠키 심어두고, 아파치에서 바로 거부가 가능하나요??
해당 서버 스크립트(php,jsp)에서 거부하는 줄 알았는데.. 아파치 설정으로 거부를 한것인가요??
잘못 이해하고 있나.. 음..

설명 좀 해 주시면 감사..^^;;

망치의 이미지

글쓴이: 망치 / 작성시간: 금, 2006/02/10 - 9:58오전

아파치 설정상에서 거부를 한것입니다..
위에서.. SetEnvIf 문법을 까먹어서 메뉴얼을 뒤적였었죠 :?

SetEnvIf Cookie scban=... link_deny

order allow,deny
allow from all
deny from env=link_deny

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

피곤해의 이미지

글쓴이: 피곤해 / 작성시간: 금, 2006/02/10 - 1:11오후

그렇군요..
답변 감사합니다.. ^^;

망치의 이미지

글쓴이: 망치 / 작성시간: 토, 2006/02/11 - 3:52오후 

61.40.73.108 - - [11/Feb/2006:15:35:23 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:22 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:23 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:23 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:23 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:22 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:22 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:24 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:24 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:24 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:25 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:24 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:24 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:24 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"
61.40.73.108 - - [11/Feb/2006:15:35:23 +0900] "POST /ws/login.php?id=test&s_url=/login_check.php HTTP/1.0" 200 9720 "http://.../login.php?id=test&s_url=/index.php" "Mozilla/5.0 ( Windows; U; AOL 5.0; athome020 )"

쿠하하.. 리프레쉬 공격입니다.
보라넷에 연락해서 사용자중에 이런짓을 하는 사람이 있는데 어떻게 처리 안되냐고 물어봤더니 권한이 없다고 사이버수사대에 연락해서 처리하라는군요 ~_~;

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

망치의 이미지

글쓴이: 망치 / 작성시간: 목, 2006/02/16 - 4:30오후

warpdory wrote:
snort 사용법을 익혀 보세요.

http://wiki.kldp.org/wiki.php/DocbookSgml/Snort-Statistics-HOWTO#INTRO

알려주신대로 snort 에 대해 알아보려고 요 문서를 보고 있는데.. 꽤나 어려워보입니다... :? 섣불리 잘못건드렸다간 직접 출동해야하는 상황이 벌어질지도 모르겠군요..;; 일단 주욱 읽어보고 시도해봐야겠습니다;;

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

망치의 이미지

글쓴이: 망치 / 작성시간: 목, 2006/02/16 - 5:16오후

pool007 wrote:
아이피를 보니 프록시 써서 들어오는 것 같습니다. 욕설을 남기는 사람이 얼마나 지능적으로 공격 하는가에 따라서 쿠키는 소용없을 수도 있습니다.

프록시를 쓴다면 프록시 목록을 보고 최대한 다 막아버리거나, 혹은 프록시를 타고 들어올때 추가되는 HTTP 헤더를 보고 차단할 수도 있겟지만 가장 좋은 방법은 whois 에서 나오는 abuse 담당자에게 메일을 보내는 것입니다. 그리고 그 담당자에게 메일을 보낸 사실을 홈페이지에 게시하세요. 또 사이버 수사대에 신고하세요.

저역시 단순 욕설로 인해 사이트 관리에 어려움이 있었습니다. 제 경우에는 일본에서 들어오는 것이었고, 일본측 abuse 담당자에게 메일을 보내어 협조 요청을 하는 중이라는 사실을 게시하였더니 단순 욕설 게시가 사라지더군요...

도움이 되시기를.

abuse 담당자에게 메일을 어떻게 보내야 하는지.. 안내좀 부탁드립니다. -.-;; 시도해보고자 하는데 영어 작문 문제도 있고.. 단순히 요청한다해서 덜컥 자료를 내어줄것같지도 않구요.. 그냥 사이버수사대에 신고하는게 편할까요..?

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 목, 2006/02/16 - 5:40오후

arping를 이용해 알아낸 mac으로 막는 방법이
그나마 제일 낮지 않나요?
아피들의 맥을 알아낸다음 비교해가며
동일한 맥어드래스가 많이나오면
iptables로 막아버리는거죠 ~ ~;;

물론 맥주소도 바꾸려면 쉽게 바꾸지만 - -;;
그래도 맥주소로 막는게 IP보다는 확실하니깐요.

그냥 그적거려 봤습니다.
- -;;

eungkyu의 이미지

글쓴이: eungkyu / 작성시간: 목, 2006/02/16 - 5:48오후

로보트킹 wrote:
arping를 이용해 알아낸 mac으로 막는 방법이
그나마 제일 낮지 않나요?
아피들의 맥을 알아낸다음 비교해가며
동일한 맥어드래스가 많이나오면
iptables로 막아버리는거죠 ~ ~;;

물론 맥주소도 바꾸려면 쉽게 바꾸지만 - -;;
그래도 맥주소로 막는게 IP보다는 확실하니깐요.

그냥 그적거려 봤습니다.
- -;;

맥주소가 인터넷을 넘어오던가요? :shock:

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 목, 2006/02/16 - 5:56오후

로보트킹 wrote:
arping를 이용해 알아낸 mac으로 막는 방법이
그나마 제일 낮지 않나요?
아피들의 맥을 알아낸다음 비교해가며
동일한 맥어드래스가 많이나오면
iptables로 막아버리는거죠 ~ ~;;

물론 맥주소도 바꾸려면 쉽게 바꾸지만 - -;;
그래도 맥주소로 막는게 IP보다는 확실하니깐요.

그냥 그적거려 봤습니다.
- -;;

죄송합니다.
이웃한 호스트가 아니면 안되는데...

( - - )( _ _ );;

kerz의 이미지

글쓴이: kerz / 작성시간: 목, 2006/02/16 - 6:45오후

Proxy서버를 통해서 접근하는 경우.. 환경변수나 헤더를 통하여 원래접속자의 IP를 알수도 있긴합니다.

헤더의 'X-Forwarded-For' 또는 'HTTP_X_FORWARDED_FOR' 라는 환경변수를 한번 체크해보시면 원래의 IP를 알수 있을 것 입니다.

그러나.. Proxy서버에 따라서 X-Forwarded-For를 사용하지 않도록 설정이 가능하기도 해서.. 100% 완벽한 방법은 아닙니다..

그래도 일단 가능성은 남아 있으니 도움이 되었으면 하는 바램이네요..

-----
늘 여유가 함께하길..

ydhoney의 이미지

글쓴이: ydhoney / 작성시간: 목, 2006/02/16 - 6:45오후

eungkyu wrote:
로보트킹 wrote:
arping를 이용해 알아낸 mac으로 막는 방법이
그나마 제일 낮지 않나요?
아피들의 맥을 알아낸다음 비교해가며
동일한 맥어드래스가 많이나오면
iptables로 막아버리는거죠 ~ ~;;

물론 맥주소도 바꾸려면 쉽게 바꾸지만 - -;;
그래도 맥주소로 막는게 IP보다는 확실하니깐요.

그냥 그적거려 봤습니다.
- -;;

맥주소가 인터넷을 넘어오던가요? :shock:

맥주소 :oops:

단풍의 이미지

글쓴이: 단풍 / 작성시간: 목, 2006/02/16 - 6:58오후

로보트킹 wrote:
arping를 이용해 알아낸 mac으로 막는 방법이
그나마 제일 낮지 않나요?
아피들의 맥을 알아낸다음 비교해가며
동일한 맥어드래스가 많이나오면
iptables로 막아버리는거죠 ~ ~;;

물론 맥주소도 바꾸려면 쉽게 바꾸지만 - -;;
그래도 맥주소로 막는게 IP보다는 확실하니깐요.

그냥 그적거려 봤습니다.
- -;;

MAC Address 로 차단 하는게 가능한가요?
(같은 서브넷 대역이 아니면 안되는것으로 알고 있는데 말이죠) :oops:

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 목, 2006/02/16 - 8:28오후

"이웃한 호스트가 아니면 안되는데..."

ㅜㅜ;;;
글을 제대로 읽지않아서 죄송합니다.
저는 차단을 말하는지 알고....
다시한번 죄송합니다.

만일 꼼수를 부린다면...
1. 접속자의 IP를 스크립트 함수로 가져온다.
2. 엑세스 로그에서 특정 시간동안 해당 IP가 동일 페이지를 불러온
접근기록의 갯수를 센다.
3. 특정 객수 이상이면 해당 IP를 거부한다.
4. 갯수를 센 변수를 비운다.

문제는 서버의 부하가 꾀나 늘겠군요.
--;;(그럼 죄송합니다. 글을 제대로 읽도록 하겠습니다.)

망치의 이미지

글쓴이: 망치 / 작성시간: 목, 2006/02/16 - 10:14오후

kerz wrote:
Proxy서버를 통해서 접근하는 경우.. 환경변수나 헤더를 통하여 원래접속자의 IP를 알수도 있긴합니다.

헤더의 'X-Forwarded-For' 또는 'HTTP_X_FORWARDED_FOR' 라는 환경변수를 한번 체크해보시면 원래의 IP를 알수 있을 것 입니다.

그러나.. Proxy서버에 따라서 X-Forwarded-For를 사용하지 않도록 설정이 가능하기도 해서.. 100% 완벽한 방법은 아닙니다..

그래도 일단 가능성은 남아 있으니 도움이 되었으면 하는 바램이네요..


정말 유용한 정보입니다. 찾아보니 해당 헤더를 붙이는곳이 있고 안붙이는곳이 있군요. 프로시를 써본일이 없다보니.. 대강 정보를 넘겨주진 않을까 하고 막연하게 생각만하고 있었지 미처 확인은 못했었는데.. 감사드립니다.

왠만해선 헤더가 없는 프록시를 골라 쓰는사람이 대부분이겠지만.. 테스트 해보면서 해당 헤더가 있을경우 실제 아이피와 프록시 아이피를 로그로 남기도록 하는 부분을 만들어서 넣어놨습니다.

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.