공격받고 있는데.. 조언 좀 해 주세요..
며칠전부터 개인적으로 운영하는 서버에 스팸글들이 도배하고 있는 상황입니다.
별거 아니라 생각해 해당 파일 퍼미션을 조정해 우선 글을 등록 못하도록 해 두었습니다.
근데, 어제부터 보니 글 등록이 안되는데도 무식하게 계속해서 접근을 하면서.. 아파치 프로세스 만땅.. 그래서 이제는 외부 접근이 아예 되지 않는 상태입니다..
현재는 사이트 자제를 접근이 안되게 해 두었는데.. 그래도 접근을 시도하고 있습니다..
xxx.com 196.44.6.211 - - [22/Sep/2006:14:42:40 +0900] "POST /submit.php HTTP/1.1" 200 82 "http://xxx.com/write.php?rid=06/06/26/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 195.175.37.70 - - [22/Sep/2006:14:42:34 +0900] "POST /submit.php HTTP/1.0" 200 82 "http://xxx.com/write.php?rid=06/07/14/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 84.10.54.193 - - [22/Sep/2006:14:42:34 +0900] "POST /submit.php HTTP/1.1" 200 82 "http://xxx.com/write.php?rid=06/08/05/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 81.233.24.125 - - [22/Sep/2006:14:42:44 +0900] "POST /submit.php HTTP/1.0" 200 82 "http://xxx.com/write.php?rid=06/08/09/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 210.87.251.106 - - [22/Sep/2006:14:42:46 +0900] "POST /submit.php HTTP/1.0" 200 82 "http://xxx.com/write.php?rid=06/08/15/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 221.153.229.163 - - [22/Sep/2006:14:42:46 +0900] "POST /submit.php HTTP/1.1" 200 82 "http://xxx.com/write.php?rid=06/08/08/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 203.113.13.3 - - [22/Sep/2006:14:42:51 +0900] "POST /submit.php HTTP/1.1" 200 82 "http://xxx.com/write.php?rid=05/07/29/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 200.187.172.108 - - [22/Sep/2006:14:42:56 +0900] "POST /submit.php HTTP/1.0" 200 82 "http://xxx.com/write.php?rid=06/07/14/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 82.83.205.49 - - [22/Sep/2006:14:41:55 +0900] "POST /submit.php HTTP/1.0" 200 82 "http://xxx.com/write.php?rid=06/08/08/zzz&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 211.22.137.100 - - [22/Sep/2006:14:42:41 +0900] "POST /submit.php HTTP/1.0" 200 82 "http://xxx.com/write.php?rid=05/08/09/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 200.67.92.59 - - [22/Sep/2006:14:42:38 +0900] "POST /submit.php HTTP/1.0" 200 82 "http://xxx.com/write.php?rid=06/08/12/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 66.4.125.11 - - [22/Sep/2006:14:42:32 +0900] "POST /submit.php HTTP/1.0" 200 82 "http://xxx.com/write.php?rid=06/08/07/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 200.42.222.30 - - [22/Sep/2006:14:42:36 +0900] "POST /submit.php HTTP/1.1" 200 82 "http://xxx.com/write.php?rid=06/08/07/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 203.113.13.4 - - [22/Sep/2006:14:42:35 +0900] "POST /submit.php HTTP/1.1" 200 82 "http://xxx.com/write.php?rid=06/08/01/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 213.4.106.85 - - [22/Sep/2006:14:42:31 +0900] "POST /submit.php HTTP/1.0" 200 82 "http://xxx.com/write.php?rid=06/07/08/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 80.48.192.6 - - [22/Sep/2006:14:38:19 +0900] "POST /submit.php HTTP/1.0" 302 120 "http://xxx.com/write.php?rid=06/07/14/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 203.131.94.152 - - [22/Sep/2006:14:43:02 +0900] "POST /submit.php HTTP/1.0" 200 82 "http://xxx.com/write.php?rid=06/06/21/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 80.17.42.75 - - [22/Sep/2006:14:43:04 +0900] "POST /submit.php HTTP/1.1" 200 82 "http://xxx.com/write.php?rid=06/08/09/&where=comments.php?rid=05/07/26/&story=05/07/26/&cmode=&comment_sort=asc" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 195.225.148.61 - - [22/Sep/2006:14:38:17 +0900] "POST /submit.php HTTP/1.0" 302 120 "http://xxx.com/write.php?rid=06/09/16/&where=stories.php?story=04/02/12/&cmode=&comment_sort=asc&p=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.com 200.49.7.53 - - [22/Sep/2006:14:38:18 +0900] "POST /submit.php HTTP/1.0" 302 120 "http://xxx.com/write.php?rid=06/09/13/&where=stories.php?story=04/02/12/&cmode=&comment_sort=asc&p=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
# ps ax|grep httpd|wc -l
158
# netstat -na|grep :80|wc -l
262
딴에 확인해 보니 거의 동일 아이피가 아니고, 프록시를 이용해 경유해 들어오고 있고요..
공격쪽은 독일쪽 같습니다..
해당 서버는 사양이 그리 좋지 못해서 그런지.. 아파치 로그의 시간이 뒤 바껴 기록도 되고 있는 상황입니다.
(이전 로그보다 빠른 로그가 늦게 기록이 되는 상태)
해당 서버는 수세9.1이고.. iptables로 돌아가고 있습니다.
방화벽은 프비로 브릿지 형태로 구성되어 있고요..
방화벽쪽에서 우선 차단은 해 두었는데.. 외부의 다른 사용자들도 접근이 안되고 있는 상태라서.. 장기간 이처럼 대처할수도 없고..
좋은 방법이 없나요??
처음에는 별거 아니라고 생각했는데.. 무식하게 돌리는데 당하기만 있기도 억울하고..
좋은 방법이 있다는 알려주시면 정말 감사하겠습니다.
대충 보았을때 들어오는 아이피가 100개가 넘는것 같습니다.
http://kldp.org/node/73934 ea
http://kldp.org/node/73934
easy~
emerge money
https://xenosi.de/
답변 감사합니다..
답변 감사합니다..
ip_recent가 괜찮을것 같은데.. 서버쪽 부하나 로드는 많이 유발시키지 않나요??
현재 시스템이 감당을 못하고 있으니.. 원..
다시 한번 봐
다시 한번 봐 주세요..
위에 말씀해 주신 ipt_recent로 해결해 보려고 했는데..
아이이가 동일 아이피로 안 들어옵니다.
우선 한 5분정도 막은것을 풀고 보았는데.. 동일 아이피는 하나도 안 잡히는것 같습니다..
아이피 변조해서 들어오는건가요?? 환장 하겠습니다.
방화벽(프비 브릿지형태)에서 해당 서버 접근을 허용하니.. 프비의 ipfw 다이나믹 룰이 과도하게 생성이 되면서..
다른 서버로 접근시 영향을 주네요.. ㅜ.ㅜ;
로그기록을 살펴 보았더니..
Sep 26 14:59:02 test kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:00:02:85:1c:64:e0:08:00 SRC=210.220.163.82 DST=11.xx.xx.xx LEN=56 TOS=0x10 PREC=0x00 TTL=243 ID=35993 DF PROTO=UDP SPT=53 DPT=8254 LEN=36
Sep 26 14:59:13 test kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:00:02:85:1c:64:e0:08:00 SRC=200.49.7.53 DST=11.xxx.xx.xx LEN=60 TOS=0x08 PREC=0x00 TTL=43 ID=61411 DF PROTO=TCP SPT=45240 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (021403B40402s080A1C79CE1B0000000001030300)
Sep 26 14:59:33 nux kernel: SFW2-INext-ACC-TCP IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:00:02:85:1c:64:e0:08:00 SRC=125.143.76.104 DST=11.xx.xx.xxx LEN=48 TOS=0x08 PREC=0x00 TTL=112 ID=19030 DF PROTO=TCP SPT=4539 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (021405B603010402)
이처럼 기록이 되어 있는데..
이곳에 mac 아이피가 기록이 되는데.. xx:xx:xx:xx:xx 로 처리된 것은 해당 서버의 맥아이피입니다..
00:02:85:1c:64:e0 은 공격 컴터의 맥아이피로 추정됩니다..
보시면 아시겠지만, 들어오는 아이피가 틀립니다.. 맥아이피는 동일하고..
iptables에서 맥아이피로 잡아서 drop 시키는 방법은 없나요..
현재 로그에 서버맥아이피:공격자맥아이피 이처럼 기록이 되는데.. 이 패턴과 일치하면 drop 시키면 딱 일것 같은데..
조언 좀 더 해 주시면 감사하겠습니다. ㅜ.ㅜ;
구글에서 iptables mac
구글에서 iptables mac address 로 검색하니.. 바로 나옵니다
http://www.cyberciti.biz/nixcraft/vivek/blogger/2005/12/iptables-mac-address-filtering.php 에 있는 내용입니다.
중간에 두개만 따 오면 ...
iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
이건 저 00:0F:EA:91:04:08 의 mac address 에서 오는 신호를 모두 막는 거고..
iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT
00:0F:EA:91:04:07 에서 오는 22 번 포트로 오는 신호는 받아들이게 하는 겁니다.
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
http://akpil.egloos.com
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
프비 ipfw
ipfw 에서 는
ipfw add 10 skipto 50 all from any to any not layer2
ipfw add 20 deny tcp from any to any 443 MAC any 00:e0:18:62:xx:xx
ipfw add 30 pass MAC any any
이와같은 설정으로 가능하다고 합니다.
구글에서 찾은 겁니다. ^^
"ubuntu everywhere"
"ubuntu everywhere"
답변 감사합니다..
답변 감사합니다..
근데, layer2는 뭔가요??
layer2
layer2는 맥아이디를 정의하는 규칙? 이라고 해야 할까요?
layer2를 정의해 주어야 맥아이디를 인지 할 수 있다고 생각하시면 될 것 같습니다.
"ubuntu everywhere"
"ubuntu everywhere"
댓글 달기