질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

DDOS 공격이 계속 들어옵니다.

작성자 정보

  • 홍석범 작성
  • 작성일

컨텐츠 정보

본문

안녕하십니까? 오늘과내일의 홍석범입니다.

Dos 공격이 아니라 웜이나 virus에 감염된 서버에서 다음 명령을 위해 접속하기 위한 일종의 BOT으로 보이지만, 워낙 접속이 많아서 마치 DoS 공격처럼 보이는것 같습니다.

IP할당을 최근에 받으셨는지 확인하신 후 그러시다면 IP를 변경해 보시는 것도 좋을것 같고..
로그를 모니터링하셔서 특정 도메인으로 접속하는 것이라면 해당 도메인의 IP를 변경해 보는 것도 좋을듯 합니다.

시간이 경과할 때까지 기다려 보시는 수밖에는 없을 듯 하고,일단 급한대로 KeepAlive를 Off로 변경하시기 바랍니다. 그리고 해당 로그를 sort해서 접속이 많은 IP를 iptables로 차단하는 스크립트를 돌리시는 것도 좋을듯 합니다.
아울러 로그에 찍힌 IP는 bot에 감염 또는 해킹된 IP 이므로 해당 사항을 ISP 또는 IDC의 보안담당자에게 알리셔서 해당 IP관리자에게 알리도록 하시는 것도 좋을 듯 합니다. 전 세계적으로 망관리자끼리는 별도의 메일링리스트나 다른 방법을 통해 국제적인 공조가 되고 있기 때문에 시간은 다소 소요되더라도 처리가 될 것입니다.

감사합니다.  

 

김광현 님의 글



안녕하세요. 질문이 있어서 이렇게 문의드립니다. 다름이 아니라.

어제 저녁부터 시작된 도스공격이 멈출줄 모르네요. cenots 4.4, apache 1.3.33 + mysql 4.0.27 + php 4.3.12 사용하고 있습니다.

아파치 로그에 아래 로그가 계속해서 수십줄 씩 쌓이고 있습니다.

현재 해결방법으로 해본 방법은 httpd.conf UA차단, mod_dosevasive.c 모듈 올려보기, syn등

등의 dos성 패킷 iptables 로 차단...이 3가지 방법을 해 보았으나 안먹히네요./

현재 제 서버에 update.ini, hd.jpg, ddos.jpg 3 파일은 존재하지 않구요

계속해서 요청하는거 보니, 툴을 돌리고 있는 듯 합니다.

iptables string 기능을 이용해 아래 문자를 막고 싶지만. 해당 방법은 커널과 iptables까지

다시 컴파일해야하기 때문에 돌아가는 서버에 엄두를 못내고 잇구요...

혹 centos 4에서 컴파일 안하고 string 모듈만 올릴수 있는지요??

아래 문제에 대해 조언 좀 부탁드립니다.

그럼 오늘도 좋은 하루 되시기 바랍니다.

읽어주셔서 감사합니다.

-----------------------------------------------------------------------
221.150.33.109 - - [22/Sep/2006:18:59:16 +0900] "GET /update.ini HTTP/1.0" 403 280
211.223.185.32 - - [22/Sep/2006:18:59:16 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
147.46.64.157 - - [22/Sep/2006:18:59:17 +0900] "GET /update.ini HTTP/1.0" 403 280
211.115.207.220 - - [22/Sep/2006:18:59:17 +0900] "GET /hd.jpg HTTP/1.1" 403 288
222.97.132.61 - - [22/Sep/2006:18:59:18 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
220.85.20.90 - - [22/Sep/2006:18:59:18 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
211.189.124.101 - - [22/Sep/2006:18:59:18 +0900] "GET /update.ini HTTP/1.0" 403 280
66.148.130.253 - - [22/Sep/2006:18:59:19 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
58.140.29.180 - - [22/Sep/2006:18:59:19 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
218.237.113.27 - - [22/Sep/2006:18:59:19 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
203.98.188.26 - - [22/Sep/2006:18:59:20 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
61.156.35.161 - - [22/Sep/2006:18:59:20 +0900] "GET /hd.jpg HTTP/1.1" 403 288
218.159.16.207 - - [22/Sep/2006:18:59:21 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
222.111.186.148 - - [22/Sep/2006:18:59:21 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
218.147.177.139 - - [22/Sep/2006:18:59:21 +0900] "GET /update.ini HTTP/1.0" 403 280
218.235.161.229 - - [22/Sep/2006:18:59:21 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
220.194.54.11 - - [22/Sep/2006:18:59:22 +0900] "GET /hd.jpg HTTP/1.1" 403 288
218.38.91.146 - - [22/Sep/2006:18:59:23 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
218.145.84.197 - - [22/Sep/2006:18:59:23 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
220.194.54.16 - - [22/Sep/2006:18:59:23 +0900] "GET /hd.jpg HTTP/1.1" 403 288
221.168.180.25 - - [22/Sep/2006:18:59:23 +0900] "GET /update.ini HTTP/1.0" 403 280
211.51.220.228 - - [22/Sep/2006:18:59:23 +0900] "GET /update.ini HTTP/1.0" 403 280
220.86.113.72 - - [22/Sep/2006:18:59:23 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
221.168.180.25 - - [22/Sep/2006:18:59:24 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
61.77.4.206 - - [22/Sep/2006:18:59:24 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
203.244.218.1 - - [22/Sep/2006:18:59:24 +0900] "GET /update.ini HTTP/1.0" 403 280
220.75.244.189 - - [22/Sep/2006:18:59:25 +0900] "GET /update.ini HTTP/1.0" 403 280
61.173.28.206 - - [22/Sep/2006:18:59:25 +0900] "GET /update.ini HTTP/1.0" 403 280
211.172.223.19 - - [22/Sep/2006:18:59:25 +0900] "GET /update.ini HTTP/1.0" 403 280
61.151.255.244 - - [22/Sep/2006:18:59:25 +0900] "GET /hd.jpg HTTP/1.1" 403 288
218.157.23.74 - - [22/Sep/2006:18:59:25 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
220.75.244.189 - - [22/Sep/2006:18:59:26 +0900] "GET /ddos.jpg HTTP/1.1" 403 290
218.159.16.207 - - [22/Sep/2006:18:59:26 +0900] "GET /update.ini HTTP/1.0" 403 280
220.123.173.238 - - [22/Sep/2006:18:59:27 +0900] "GET /update.ini HTTP/1.0" 403 280
69.255.243.74 - - [22/Sep/2006:18:59:27 +0900] "GET /update.ini HTTP/1.0" 403 280
218.235.161.229 - - [22/Sep/2006:18:59:27 +0900] "GET /update.ini HTTP/1.0" 403 280




 

관련자료

댓글 0
등록된 댓글이 없습니다.

공지사항


뉴스광장


  • 전체 회원수 *** 명
  • 현재 강좌수 *** 개
  • 현재 접속자 *** 명