해킹 봇의 공격을 받고있던 건에 대하여
현재 운영중인 서버의 커뮤니티에는
에러 발생 시 DB에 로그를 남기도록 에러 핸들링을 해두었는데
그런데 위와같이 불순한 로그들이 존재하는 것이 아닌가....
지금은 실제 서버에 올린 후 운영에 알맞도록 보수를 진행중인데
이런 접속 0인 사이트도 타겟이 될 줄은 몰랐다
그리고 서버에 접속해서 로그를 까보니
아주 맹렬한 기새로
cms를 탈취하기위한 노력을 보게되었습니다
근데 현재는 직접 관리하기 때문에 CMS가 없기에.... 그저 안쓰러운
아무튼 이런 상황을 그냥 둘 순 없기 때문에
fail2ban을 사용해서 불순한 ip들을 자동적으로 차단하도록 조치를 해봤습니다
간략히 설정하는 방법을 적어보자면
1. fail2ban을 설치
2. 우분투 기준 /etc/fail2ban 경로에 jail.local 파일 생성
3. 내부에 아래 내용 작성
[fileter 이름]
enabled = true ( 사용 여부 )
port = http,https
filter = 필터 이름
logpath = /var/log/사용할 로그 경로
bantime = 벤 시간 설정 ( -1 설정 시 영구 벤 )
findtime = 감시할 시간 범위 ( 10m -> 10분 )
maxretry = 허용할 시도 횟수
4. filter.d 폴더에 필터이름.conf 파일 생성 후 아래와 같이 작성
[Definition]
failregex = ^<HOST>.*"(GET|POST).*" (403|404) .*$
타겟이 되는 로그에서 해당 정규식으로 검사를 하게됩니다
예시 내용은 403 및 404 에러가 존재할 시 필터링하는 내용입니다
설정을 작성한 뒤에 fail2ban을 재시작 해주면 내용이 적용됩니다
문법에 문제가 있을 시에는 실행이 안 됩니다!
그러면 이제 fail2ban이 아주 열일을 하게 됩니다
이렇게 말이죠
actions로 끝나는 애들이 ip를 벤한 내용입니다
현재는 ssh 로 root로 접속을 시도하거나 비밀번호를 1회라도 틀렸을 시
벤을 때려버리기에
엄청난 기새로 벤을 때리고있습니다
저도 한 번 당했음
한 번으로 설정한 이유는
원래는 3번이었는데
새벽에 찍힌 로그를 보니 두번까지만 시도를 하고 ip를 바꾸더라구요 ㅋㅋㅋㅋㅋㅋㅋㅋ 소름쓰
작정하고 공격을 시도하는 것이 아니라면
자동화 공격은 이정도로 방어할 수 있다고 생각합니다
보완할 방법이 있다면 알려주시면 감사하겠습니다!
아래는 제가 직접 손수 수작업으로 하나부터 열까지 전부 직접 작성한 커뮤니티사이트 입니다
신생커뮤니티라서 많이 삭막하지만 들려주시면 고마울 것 같아요!
타모임
탕비실 물 좀 마셔도 되냐고 물어본 건물 미화원