웹 서버 스캐닝을 당했다

갑자기 예고도 없이 서버가 다운되었다.

 

물론 서버 전원이 나간다거나 컴퓨팅 자원이 모두 소모된것은 아니고,

아파치 프로세스만 맛탱이가 간 상태였다.

 

보통 이런식으로 과부하가 걸리면 속도가 느려진다던가, 서버 자체가 다운되는 경우가 많았는데 이번에는 조금 달랐다.

 

error.log

아파치에서 오류 발생 시 에러 로그를 기록하도록 설정해두었다.

 

각종 접근해서는 안되고, 애초에 존재하지도 않는 파일에 접근을 시도한 흔적이 잔뜩 남아 있었다.

 

정상적인 서비스 사용자들은 저 경로에 접근할 일이 전혀 없으며,

/var/www/html에 직접 접근하는 방법은 ip를 이용해 접근할 때만 가능하므로, 명백한 공격 행위임을 알 수 있다.

 

또한 동일한 아이피가 아닌 여러 아이피로 번걸아가며 찔러보고 있다.

 

아이피 위치를 조회해 보면, 미국, 중국, 프랑스 등 아주 여러 나라에서 찍혀대는데,

VPN을 이용하는 모양이다.

 

access.log

access.log에는 일반 사용자 로그와 섞여 표시되기 때문에 아래 커맨드를 이용해 공격자의 로그를 뽑아냈다.

 

grep '103.72.146.62' /var/log/apache2/access.log | cat

 

103.72.146.62 라는 문자열이 포함된 라인을 access.log에서 뽑아 커맨드창에 표시하는 명령어이다.

 

얘 역시 존재하지도 않는 경로에 계속해서 요청을 보내고 있다.

 

5분 동안 약 192개의 요청을 보낸 것으로 확인된다.

 

이게 뭐하는걸까?

최대 초당 10번 정도의 요청을 보낸 것으로 보아 단순히 링크를 헷갈려서는 아니고,

악의적인 의도를 가진 공격자로 추정된다.

(이 정도는 절대 사람이 수동으로 보낼 수 없다)

 

아마 공격 전 취약점을 점검하는 "웹 서버 스캐닝"을 사용한 것으로 추정된다.

 

실제로 이 행위가 있고 얼마 후 아파치 프로세스가 다운되었기에 취약점을 점검할 필요가 있었다.

 

history

이 커맨드는 실행한 커맨드 기록을 보여주는 명령어이다.

 

실행 결과 별도 커맨드가 실행된 기록은 없었다.

 

서버의 셸 권한이 탈취된 것은 아니라고 판단된다.

 

스스로 취약점을 스캔해보자

뭐가 문제인지는 모르겠다.

 

따라서, 알려진 취약점이 내 서버에도 있는지를 살펴보자.

 

sudo apt-get install nikto
nikto -h [HOST_NAME/IP] -C all

위 명령어를 실행하면 대상 서버의 취약점 스캔을 시작한다.

 

결과가 나오기는 했는데, 딱히 크리티컬한 문제는 없는 듯 보인다.

 

정체가 뭘까

지독한 404와 403을 일으켰던 IP는 이미 2600번이나 신고된 주소였다.

 

아무대나 막 찌르고 다니다가 취약점 하나 걸리면 터뜨리나보다.

 

다른 아이피도 마찬가지로 신고 누적이 상당했다.

 

조회는 아래에서 해볼 수 있다.

 

https://www.abuseipdb.com/check/103.72.146.62?page=2#report 

103.72.146.62 | No 58. Jiangchang Road. Suite | AbuseIPDB

 

어떻게 막을까?

완전히 막기는 어렵다.

 

한 아이피로 고정적으로 스캔하면 모르는데 여러개의 아이피로 번갈아가며 쳐대니 이건 뭘 막아야할지도 잘 모르겠다.

 

다만 이런 웹 스캐닝이 더 빠르고 강력하게 진행될 경우 DDOS 공격의 형태를 띄기 때문에

내부적으로 일정 시간 내 요청이 너무 많다고 판단될 경우 해당 IP를 차단하는 조치를 취해야 할 것 같다.

 

이 글을 쓰고 있는 와중에도 계속 구멍하나 찾으려고 혈안 중인것 같다.

 

마지막으로 재시작하니 해결되긴 했지만 아파치 프로세스가 왜 맛탱이가 갔었는지는 전혀 모르겠다.

 

추후 발견하게 되면 내용에 추가할 예정이다.