in 사업 일기

악의적인 접근 블로킹

지난주부터 이상한 접근징후를 확인했습니다. 에스프레소북은 뭔가 이상하면 바로 알림이 날아오도록 되어 있는데 전에 본적없는 요청이 계속 들어왔습니다.

시도1

wp-admin/setup-config.php와 같은 wordpress 관리페이지 설정에 대한 요청이 들어오네요.  아마도 워드프레스 기반이라고 생각했나 봅니다. 살짝 웃으며 무시.

시도2

/recharges/와 같은 페이팔 결재 기반의 충전요청 URL을 찌르네요. 일단 지금 쓰지 않는것이라 URL 막고 다시 릴리즈

시도3

무작위로 접근. 400,403 같은 계열의 상태코드에 대한 처리 추가

시도4

/manager/ 와 같은 관리 콘솔에 대한 요청이 들어오네요. 저희는 이런건 특정 IP만 접근 가능하게 되어 있습니다. 더 두고 볼수 없어서 ELB에 AccessLog를 S3에 남기도록 설정을 추가하고 기다렸습니다.

시도5

cgi 스크립트에 대한 시도가 들어오네요. s3에 남겨진 로그를 이용해 ip 확인후 어디에서 들어온지 확인했습니다. 일본으로 나옵니다. vpc에 ACL 규칙을 이용해서 블록킹

IP가 일정하고 접근방식이 뻔한걸 보면 해커는 아니고 개발자 인거 같은데..아마도 경쟁 서비스가 아닐까 하는 생각이 듭니다.

참고자료

[1] http://www.ipligence.com/geolocation

Write a Comment

Comment