포럼

  2. Support
  3. 포럼

spam

2015.02.15 01:41

휘즈

4~5개월전 들여다 보았던 사항이므로 지금은 전 진화했을지는 몰라도 비슷한 양상일 것이라 생각하고 기억에 의존하여 기술합니다.


XE 초창기 spam이 처음 문제가 되었을 때 ip대역으로 100개 이하를 차단하여 대부분 해결한 적이 있습니다.


결론 부터 말하면 

1. 수시로 사이트를 모니터링해야하고 스팸게시물(댓글)이 올라오면 즉시 삭제해야 합니다.

이렇게 몇번하면(하루나 2~3일 정도?) 그 스팸 ip는 다시 안옵니다.(?) 


2. 만일 스팸게시물이 등록된 후 일주일, 한달 이렇게 방치되었다면 도메인을 바꾸던가 해야지 대처가 난감합니다.

   스팸 게시물을 원천봉쇄 하였더라도 방문하는 ddos수준의 수천개 spam ip를 막을 방도가 없습니다.

   (해외 ip를 모두 차단하면 해결은 됩니다.)


3. 개인서버 사용자라면 modsecurity를 설치


제 서버의 경우입니다.

1. 실수 

작업을 할일이 있으면 서브도메인을 만들어 작업을 합니다.

작업이 끝난 후 방치되어 있었는데 여기에 수만개 스팸게시물이 등록되어 있었습니다.

실 사이트에도 스팸이 등록되어 있더군요. (여기는 관리비를 안줘서 방치해 두던 곳이었는데 ㅠㅠ)

쓰기 권한을 로그인 사용자로 해둔 것 같았는데. 어찌된 것인지 모든 사용자로 되어 있더군요.


2. 인지

 언제부턴가 ftp접속을 하면 바로 접속되지 않고 2~3초 딜레이 되는 현상이 있었습니다.

 이런 현상이야 여러가지 원인이 있을 수 있으니,  시간날 때 점검해봐야지 하고 미루다가 하루는 서버와 사이트 전체를 점검하였는데, 스팸이 등록된 것을 발견했습니다. 즉시, 스팸 게시물 삭제 및 해당 서브도메인 삭제, 쓰기권한 변경 등 조치를 취하고 지켜보았습니다.

스팸 게시물은 더이상 올라오지 않았으나 사이트가 느려진 현상은 해결되지 않았습니다.


3. 스팸 ip 분석

 가. 하루에 방문하는 스팸 ip는 6~7천개 정도가 오더군요

 나. 그런데 매일 또는2~3일 마다 ip가 바뀝니다. 6~7천개는 유지되고

 다. 하루에 수백개 이상 post를 날리는 ip 는 2~3개 입니다. 평균 하루에 3개 이하의 post를 날립니다.

 라. 스팸 ip는 다단계 형식입니다.

     즉 내 사이트에 스팸게시물이 등록되어 있으면 그 게시물을 읽어 다른 사이트에 등록 시킵니다.

     내 사이트가 스팸 블랙리스트에 올라가 있을 확률이 높습니다. 

 마. 스팸 ip는 역활 분담이 되어 있습니다.

     사이트 분석(스팸 등록이 가능여부 타진) ip

     사이트 스팸글 읽는 ip

     사이트에 스팸글 올리는 ip

     

3. 대처

  스팸에 공격 받고 있는 도메인은 xe 신규설치하고 바로 관리자 페이지에 들어가 회원목록을 보면 스팸회원이 이미 등록되어 있습니다. ( 대다수가 해당되는 것은 아니겠지만 xe설치 후 초기설정을 회원가입허가를 "아니요"로 해주면 아주 조금 도움이 될 듯도 합니다.)

스팸 게시글은 대다수 권한 관리를 로그인사용자 이상, 자료실의 스팸차단 애드온등을 사용해도 대부분 차단돱니다.

그러나 일단 스팸게시글이 등록된 후 상당기간 방치된 경우라면 매일 방문하는 수천개의 스팸ip는 대처가 난감합니다. 

스팸ip의 공격대상이 되면 거의 ddos수준이기 때문에 사이트 운영에 지장을 줍니다. 


xe는 이상하게 스팸 차단을 해도 post를 날렸을 때 200 ok를 보내기 때문에 spam ip가 재방문 하는 것을 막을 수 없습니다.

403을 뱉어주면 좋으련만...


modsecurity 사용

현재 웹서버 보안 툴로서 modsecurity만큼 좋은 것이 없습니다.

그런데 실사이트에 적용을 하려면 좀 까다롭습니다.


실사이트에 제외시킬 룰을 골라내야 하고 xe 업데이트하면 간혹 이 룰에 걸리는 것이 생겨납니다.(또 조정해야 하고)

modsecurity를 적용한지 3~4개월 되는데 최근 들어 스팸ip의 방문이 현저하게 줄었습니다. 거의 1/10 정도로...

그리고 쓰기권한을 모든 사용자로 해 놓았는데 3~4개월동안 스팸게시물이 하나도 등록되지 않았습니다.


개인서버 사용자 중 익명 사용자 게시판을 사용하는 사이트는 적용하는 것이 좋을 듯합니다.


영양가 없는 글이 쓸데없이 길기만 하군요

 

한줄요약 

modsecurity로 모든 스팸문제 해결


 


이 게시물을
Profile

  phizMobileThemes    왕초보를 위한 xe사용설명서    XE Market   

 

XE에 최적화된 서버를 구축, 유지보수해 드립니다.

보안서버(ddos방어, spam방지) 설치 세팅해드립니다.

보안 서버는 다음 과 같은 작업을 합니다.

- 커널 세팅

- 방화벽 설정

- WAF 설치 및 설정

- XE 전용 룰 세팅

 

좋아요
목록
글쓴이 제목 최종 글
이영제 1.5.3 게시판 확장변수 순서 바꾸기 되나요?  
銀童 구글 프로젝트 API 를 이용해서 XE 공식 사이트에도 이슈트래커를 만들면 어떨까요?  
코리스™ [1.5.0.3 r9517] 현재 메뉴 출력 제대로 되시는 분 계시나요?? [1] 2011.10.10 by GPMz
GPMz 1.5 업그레이드 후에 다시 1.4.5.10으로 [2] 2011.10.10 by 배워서남준다
라르게덴 XE1.5에서 큰 변경하나가 더 있었군요. [12] 2011.10.10 by fsfsdas
ForHanbi ie8에서 1.5 res://ieframe.dll/acr_error.htm# 에러 [5] 2011.10.09 by snows96
ForHanbi respond.js이 ie8에서 미치는 영향 [1] file 2011.10.09 by ForHanbi
이영제 레이아웃이 1.5에서 달라진 것 어떻게 하나요. [3] 2011.10.09 by 배워서남준다
PD유스 텍스타일과 카페XE에도 신경 써주세요. [7] 2011.10.08 by 비나무
루큐모닷컴 배타버번은 언재 끝나나요>?? [1] 2011.10.08 by 비나무
배워서남준다 1.5.0.3 에서는 xe.min.css 를 사용하네요. [1] 2011.10.08 by 엄마네과일가게
아담하와 카페 설치. 구동. 기초적인 질문입니다. [10] file 2011.10.08 by Cody
라르게덴 공홈에 무슨 약물을 투여하신건가요? [5] 2011.10.08 by neostream
rjsoo 어드민화면에서 메인 메뉴을 추가할수 있는 방법 좀 알려주세요 [6] file 2011.10.08 by snows96
Cody FTP 설정의 Passive모드 [1] 2011.10.08 by snows96
amd짱좋아 XE Core 배포하는 요일을 정했으면 합니다 [4] 2020.03.14 by snows96
우진홈 테마에 대한 개념을 좀더 명확히 해 주십시오.[글로벌XE] [12] 2011.10.07 by sound4u
우진홈 퀵 메뉴 관리 또는 빠른 메뉴 관리로 제안합니다.[글로벌XE] [2] 2011.10.07 by guny
銀童 1.5 버전 XpressEditor 에 심각한 문제가 발생하고 있는데 저만 벌어지는 일인가요? [4] 2011.10.07 by Garon
銀童 comment 부분에 object cache 가 적용되지 않은것은 의도된 부분인가요?  
태그 쓰기