질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

웹공격 로그 분석좀 부탁드립니다.

작성자 정보

  • 홍석범 작성
  • 작성일

컨텐츠 정보

본문

안녕하십니까? 오늘과내일의 홍석범입니다.

가장 좋은 방법은 IP를 확인하여 iptables를 활용, 커널 레벨에서 차단을 하는 것이지만 여의치 않을 경우 GET/POST/HEAD 이외 다른 메소드를 제한하는 방법을 고려해서도 될 듯 합니다.

mod_security를 이용할 경우

SecFilterSelective REQUEST_METHOD "!(GET|POST|HEAD)" 와 같이 사용하셔도 되고,

<LimitExcept GET POST>
        Order allow,deny
        deny from all
</LimitExcept>
와 같이 차단하셔도 되겠습니다.

감사합니다.

씨큐 님의 글



안녕하세요..현재 웹서버 access 로그에 아래와 같은 로그가 엄청나게 쌓이면서

httpd 프로세스수를 증가 시키고 있습니다.

어떤 공격인지 알수가 없네요..

ip 차단에도 한계가 있고, 막을수 있는 방법이 없는지??ㅜㅜ

58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]x19yx1f2x16" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]Hx06x0e " 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]n" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]x1f? " 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]_" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]Y" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]c[" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]hx1b" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9].x17" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]0" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]+" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]B" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]Z" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]" 200 144 "-" "-"
58.140.92.90 - - [07/Mar/2007:14:10:31 +0900] "A4slayerFuckYou[xb8xaexb7xb9]" 200 144 "-" "-"




 

관련자료

댓글 1

양현재님의 댓글

  • 양현재
  • 작성일
특정 파일이 심어져 프로세서로 돌고 있을지 모르겠네요
pstree -u 로 보시면
nobody 권한으로 낯선 프로세스가 돌고 있을지도 모릅니다.

도움이 되었길 바랍니다.

공지사항


뉴스광장


  • 현재 회원수 :  60,139 명
  • 현재 강좌수 :  36,208 개
  • 현재 접속자 :  291 명