리눅스

아파치 access_log 문의

chozzalinuxer 작성
작성일 2016.08.05 10:31

2,372 조회
2 댓글
0 추천
목록

저희 회사 웹서버에 ip로 들어오는 access_log 에 아래와 같은 로그가 엄청납니다.

1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "\xd3\xac\xe2\xeeo\xb2\x0e\x81\xc4\xdfik\x13\xe6\xb6\x7f\x96\xbc\x87\x1f\xf7L\xdb|s=[\xd8\x94\xf7" 200 44 691 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "-" 408 - 26 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "-" 408 - 23 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "-" 408 - 15 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "" 200 44 529 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "\xe3\xd4\x9bj\x8b\x02`<\x83\xa5\xc5V\x16\xde9\xa5\x0f\xffq\xdf\x93t\xb8" 200 44 566 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "-" 408 - 27 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:20 +0900] "\xa9\xea\xd3]\xa2\xd8\xb5\x1f\x9e \x1c\x8aV\xee\xa8\xef}> \xef\xd7\xcf}=e\xb8\x05\xf0\"\x94\xf8\x01\x82MD\xabj" 408 223 5004341 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:20 +0900] "\xcb\x06\xf6\x070\x12X[J\x99\x8e\xd1\r\xd9TMRrOBk.\xfa6.X/\xb9\xc7\xc2\xe8D\x02\x80b\x16\x88|\xd2Q\xe7\xa0R\xad\xb3\xe8-\x18\xc2e\xca\x1e[\xd5\r\x7f%,SE\xb8\xb2z\xe7\x8bIa\x02\xf7d\x8fu\xef\x03,\x8f\xbc\xfa|\xda\xfa\x0e\x9f/7{\xec_`{'\xd1/t\xc3\x1a\xb3\xdc\x82\xa4\xb3\x15r@\xd6\x03\xe1\x89x\xe6\x1chl\x92\xbb\xe27\xcdy\x99|\xf9C\x96\xb8\xf3\x8fE0:\xef\xc1'T\xe6RSm\xfa5\x92B" 408 223 5001875 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "-" 408 - 29 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "-" 408 - 36 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "{\x8a%;\xe418G\xe7pX\xd2\xdc\xfe|\xf0\x1a\xb1QS%\x0e\rA\xcd\xb8\x8b>\xc7" 400 226 79 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "-" 408 - 27 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:20 +0900] "w\xae\x0c\xc6zZ\xf8\x05\xc0x\x0c\xff\x02\xe1c\xf5^\xef" 408 223 5004558 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "-" 408 - 59 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "-" 408 - 26 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "\xd9\x18h\xcf{w\xd1\xe4\xb5\xf1n|\xd0\x10b" 200 44 734 "-" "-"
1.1.1.1 - - [05/Aug/2016:10:25:25 +0900] "\xf2e\xc01\xd0\x14\xdfA\xc3X\x7f\x98\x8b\x7fm\xf4\x1fH\xaf\xb6M\x8f\xdaM\xca\xc6\xfc\xd3\xc6\x05\xdd\xf7\xfc\xfe\xa9\x8b\x14\xfbF\xaa\xb3'\x83^\x9fj\xe2\xb5\x96\x1e\xf5\v\x16\xa0\xb2Z\x07f7\xb7\x11\xd0Y\xeci" 400 226 87 "-" "-"

위의 1.1.1.1이란 아이피에서만 시간당 7만건이 넘는 log가 찍히고 저런 ip도 한두개가 아닙니다.

이게 ddos인지..뭔지..도메인으로 정상접속하는 access_log에는 저 ip들 로그는 없는상태구요..

서비스가 다운되거나 할정도는 아닌데..

저 ip들은 모두 ping이 나가고 국내 아이피들입니다.

iptables로 차단하는것도 한계가 있네요..

혹시 이런 경험이나 증상 있으신분들 계신지요?

이전

vsftpd 접속시 한글이름 물음표로 나올때 조치방법

작성일 2016.08.10 03:08
다음

iptables 질문드립니다.

작성일 2016.08.01 10:50

dslee
작성일 2016.08.08 16:59

로그를 좀더 세분화해서 보시는게 더욱 좋을거 같습니다. httpd.conf 에서 로그 남기는 옵션을 좀더 추가해보세요.
어떤 도메인의 페이지에 접속하는지 알 필요가 있으며, DB쪽도 확인해보세요.

chozzalinuxer
작성일 2016.08.24 15:42

로그형식은 combined이고, 도메인으로 들어오는것이 아닌 ip로 들어오는 로그입니다. DB없는 단순 웹서버입니다..로그옵션은..한번 찾아보도록 하겠습니다.

로그인한 회원만 댓글 등록이 가능합니다.

메뉴
검색
클라우드포털

아파치 access_log 문의

공지사항

뉴스광장

작성자 정보

컨텐츠 정보

본문

관련자료

공지사항

뉴스광장