요즘 제가 운영하는 시스템이 손볼곳이 많아서 거의 두달 가까이 다른업무를 할수 없고 이 업무에 집중하고 있습니다. 그중에서 리눅스 서버 느림 현상을 만드는 부하의 원인에 대해서 조사하는중 특정 IP로 지속적인 서버 공격이 있었습니다.
route 명령어를 이용하여 IP를 하나 막았는데…
route add -host 180.230.13.57 reject
다시 다른 아이피로 변경해서 아래처럼 또 공격을 하고 있습니다.
이번에는 IP를 45.35182.179 로 변경했군요.
이게 악의적으로 공격한다는것을 어떻게 알수 있냐하면… 기존에 차단한 IP를 차단 풀었더니 그 아이피로는 공격이 안들어오고 있기때문입니다. 즉 누군가가 일부로 리눅스맨 워드프레스 블로그로 공격을 하고 있다는 거죠.
이런경우라면 수동으로 IP를 차단해봐야 또 그사람도 아이피를 VPN등 이용해서 바꾸고 다시 또 공격할겁니다.
악의적으로 공격하는것이니 IP추적하여 VPN 업체 알아내고 그 VPN업체를 사이버수사대에 신고하면되지만…
그런것조차 일이되고 제가 해야할 업무는 태산이라보니 그냥 무시하기로 했습니다.
그냥 단순히 프로그램 하나 파이썬으로 개발해서 자동으로 IP를 차단하도록 했습니다.
45.35.182.179 - - [30/Jan/2023:18:27:19 +0900] "\xbfI\xae\xa4E7\x97\x8a\xb9\x0e\xa7\xe2\xca\x8c\x01UH\xf5\x07\xb8\xd0\xa6\xe1\x94\x89\xe0z\xc1c\xe7\x99\xc8\xc7\x84$\x9f\x1d\\-y=\xa8\xd6P\xf9\b'\t\x95\x8b\\R\x0c\x1a\x14a\x88\xfc\xaf\x1c\xeb{\xa0a1\x9a\xae~(\xa8\xc8f@\xe5K9\xe0\x93\x1d%\xe7\x14\xb2\xb0\x94\x1b\b\xad\xc1\xd7tZ{\xd4\xaf,\xcf\xfa\x7f\xb9\xe9\xb2j\x8e\xb94\xbe^\x9fK\x89=\x1e\x16\xf1C\x13/\x87\xf6\x1b[\x8b\xa6\x0f\xe1\x82\x16\xca+\x17?\xfe|\x9aTp\xcc\x9f^\xfd\x18\x1a\xadA\xda{\x801b\x1cm-\x93\xa9\xf5\xe0\rz\xed?PN\x7f7\x90\xda\xc2\x18[9\xe5\x8c\xdc\xd5}e\xf1\x03\xfaKp'\r\xa5\x86\xc4\x9a\xd6\xaa\vjP\xa2\xc3#>\xbe\xdd\xac\x8e\xa0\x03\xd3\x98\xc3" 400 226 "-" "-"
내용을 보면 문자를 인코딩해서 딱히 정확히 뭘 하려는건지는 알듯합니다.
일단 IP를 바꿔서 재차 공격을 했다는것만 보면 악의적으로 서버부하를 일으켜서 트래픽을 발생시키기 위함입니다.
일단 금전적인 돈으로 지출을 유도한것으로 보이고요. 서버 해킹이나 뭐 이런건 관심이 없는듯합니다.
인코딩하면 제가 그 인코딩이 뭘까? 라고 파악할꺼라 생각하겠지만 문자열을 분석해보면 일치되는건 전혀 없고 단순 무의미한 글자를 인코딩해서 저렇게 날리는거보면 서버 부하를 일으켜서 서버 느리게 하고 트래픽으로 서버지출비용을 늘리기 위한 노력인것으로 보입니다.
게다가 악의적으로 아이피를 바꿔가면서 공격한다는것은 그냥 제가 운영하는 이 워드프레스가 맘에 안드는것으로 보입니다.
그거 말고는 답이 없습니다.
일단 파이썬으로 자동으로 아이피 차단하도록 설정해두었으니 모든 서버에 적용시켜서 앞으로는 신경을 안써도 됩니다. 혹시라도 저처럼 이런 악의적인 서버 부하로 서버가 느림현상에 시달리고 계신다면 저에게 요청해주세요.
제가 만든 자동화 파이썬 툴을 이용해서 자동으로 라우트 IP 차단을 하시기 바랍니다.
더군다나 서로 공격 IP를 공유해서 미리 공격 IP를 차단시킬 수 있으니 함께 사용하면 더 좋을듯합니다.
사용하실분들은은 운영하시는 웹서버 블로그에 이 글을 공유하셔서 더 많은 분들이 참여할 수 있도록 해주세요.
감사합니다.