서버공격받는 포인트를 찾았습니다. 정보
서버공격받는 포인트를 찾았습니다.
본문
몇일동안 웹서버의 취약점을 이용하여 공격을 당하고있습니다.
개인컴퓨터에서 ngxmp를 이용하여 웹사이트를 운영중인데
본인에 요구를 들어주지않았다고 문의사항을 통하여 공격을하겠다고 선포하고
현재까지 공격을 하고있습니다...
디도스는 아닌듯합니다.네트워크는 멀쩡합니다..
웹컴퓨터의 cpu가 99%~100%를 유지하면서 떨어지지않고
웹접속이 불통이되어버립니다..
로그를보니 스샷처럼 해당 페이지에서 어떤짓?을하고있는것같습니다...
유추되시는분이계시면 조언좀 해주세요 ...
단순아이피만 막으면 또다른아이피로 접속을해서 공격을할것같습니다...
근본적인 공격에대한 대책을마련해야할것같은데 ...보안쪽으로는 제능력이 너무 부족하네요...
_650x520.png)
개인컴퓨터에서 ngxmp를 이용하여 웹사이트를 운영중인데
본인에 요구를 들어주지않았다고 문의사항을 통하여 공격을하겠다고 선포하고
현재까지 공격을 하고있습니다...
디도스는 아닌듯합니다.네트워크는 멀쩡합니다..
웹컴퓨터의 cpu가 99%~100%를 유지하면서 떨어지지않고
웹접속이 불통이되어버립니다..
로그를보니 스샷처럼 해당 페이지에서 어떤짓?을하고있는것같습니다...
유추되시는분이계시면 조언좀 해주세요 ...
단순아이피만 막으면 또다른아이피로 접속을해서 공격을할것같습니다...
근본적인 공격에대한 대책을마련해야할것같은데 ...보안쪽으로는 제능력이 너무 부족하네요...
댓글 전체
일단 그 아이피 차단하고 다른 방법을 강구해보셔야죠.
Slowloris 라는, 혼자서도 ddos 공격과 흡사한 효과를 낼수 있는 툴이 있는데, 어쩌면 그 툴을 사용해서 (윈도우 용도 있어서 쉽게 구하고 쓸수 있거든요.) 공격 중 인 것 같습니다.
사용하시는 서버가 그나마 nginx 라서 사이트가 안 퍼지는 것 같습니다. 아파치 같은 경우는 slowloris 공격에 서버가 퍼지거든요.
http://pleasefeedthegeek.wordpress.com/2009/10/12/testing-slowloris-against-nginx/
일단 해당 IP 를 block 하시고, 프록시 IP 도 막으시면 저 공격자가 다른 공격방법을 못찾을 가능성도 많습니다.
자기 IP 가 막히면 프록시 IP 로 접근하려할텐데 프록시도 막아버리면, 훔.. 그담에 어떻게 하지? 이러고 다른 방법을 못 찾을 newb 일 가능성도 있는거죠.
사용하시는 서버가 그나마 nginx 라서 사이트가 안 퍼지는 것 같습니다. 아파치 같은 경우는 slowloris 공격에 서버가 퍼지거든요.
http://pleasefeedthegeek.wordpress.com/2009/10/12/testing-slowloris-against-nginx/
일단 해당 IP 를 block 하시고, 프록시 IP 도 막으시면 저 공격자가 다른 공격방법을 못찾을 가능성도 많습니다.
자기 IP 가 막히면 프록시 IP 로 접근하려할텐데 프록시도 막아버리면, 훔.. 그담에 어떻게 하지? 이러고 다른 방법을 못 찾을 newb 일 가능성도 있는거죠.
프록시 아이피는 어떻게 차단을해야하는건가요?
우선 증거자료 수집하고.
사이버 수사대에 신고먼저 하세요.
사이버 수사대에 신고먼저 하세요.
사이버수사대 진짜 개X밥입니다.
신고해봐서 압니다. 짜증날정도로 처리속도 느립니다.
사이버 담당 수사관이 영타도 못칩니다. 하?
말다했는거죠. 해킹/디도스 관련해서 문의하러가니깐, 메뉴얼 뒤적거리고있습니다.
적어도 사이버 수사관이면 해킹유형은 알아야될것 아닙니까?
SYN FLOODING 인지, TCP FLOODING 인지 어휴.. 구분도 못하고
공격 로그 40만개를 보여줘도 이게 뭣인고... 하고있고...
별 쓸데없는 사이트 운영로그를 달라고하지를 않나...
진짜 답없습니다.
디도스는 진짜... 별 노답...
신고해봐서 압니다. 짜증날정도로 처리속도 느립니다.
사이버 담당 수사관이 영타도 못칩니다. 하?
말다했는거죠. 해킹/디도스 관련해서 문의하러가니깐, 메뉴얼 뒤적거리고있습니다.
적어도 사이버 수사관이면 해킹유형은 알아야될것 아닙니까?
SYN FLOODING 인지, TCP FLOODING 인지 어휴.. 구분도 못하고
공격 로그 40만개를 보여줘도 이게 뭣인고... 하고있고...
별 쓸데없는 사이트 운영로그를 달라고하지를 않나...
진짜 답없습니다.
디도스는 진짜... 별 노답...
단순공격에 그치는 정도라면 사이버 수사대가 쉽게 잡아낼거 같네요. 요즘 전문가의 공격보다 어설피 공격하는 사람들이 꽤나 되는 것으로 알고 있어요. 잡기 쉽다죠.
근데 우버님께서 사이버신고센터에 신고하면 님사이트도 문제가 발생하겠네요
보아하니 프리서버 운영하시는것같은데.....ㅡ.ㅡ;;;
프리서버가 불법인걸로 아는데 ㄷㄷㄷㄷ
신고보다는 차단이나 막는방법으로 하시는게 좋을듯 싶어요
보아하니 프리서버 운영하시는것같은데.....ㅡ.ㅡ;;;
프리서버가 불법인걸로 아는데 ㄷㄷㄷㄷ
신고보다는 차단이나 막는방법으로 하시는게 좋을듯 싶어요
어느 페이지에 접속하는지 로그를 확인해보세요.
리눅스라면
iptables -A INPUT -t filter -s 아이피 -j DROP
로 잠깐 막아두시고..........
개인서버에서 사실 DDOS 공격을 막을 순 없어요.
신고라면, 개인은 잘 상대안해주는걸로 압니다.
ipchain 설정으로 어느정도는 효과를 볼 수 있으나,
이 역시 완벽하지 않습니다.
비싼 보안장비로도 막기어려운게 ddos 공격입니다.
우선
"본인에 요구를 들어주지않았다고 문의사항을 통하여 공격을하겠다고 선포하고
현재까지 공격을 하고있습니다..." from 본문.
이 부분 신고하실려면 꼭 저장해두세요.
iptables -A INPUT -t filter -s 아이피 -j DROP
로 잠깐 막아두시고..........
개인서버에서 사실 DDOS 공격을 막을 순 없어요.
신고라면, 개인은 잘 상대안해주는걸로 압니다.
ipchain 설정으로 어느정도는 효과를 볼 수 있으나,
이 역시 완벽하지 않습니다.
비싼 보안장비로도 막기어려운게 ddos 공격입니다.
우선
"본인에 요구를 들어주지않았다고 문의사항을 통하여 공격을하겠다고 선포하고
현재까지 공격을 하고있습니다..." from 본문.
이 부분 신고하실려면 꼭 저장해두세요.
요새 유행하는 ddos 공격팀? 이라는게 있더군요. 혹 그런유형이신거 같은데요.
몇몇 특정사이트에 출몰(?)하던데... 쵸코입니다 님의 말씀대로 아이피테이블를 이용하셔서
잠깐 막아두시거나, 사설 방화벽(코모도와같은..) 설정과 더불어 랜카드 교체를 해보심이...조심스럽게 의견 남깁니다.
웹서버와 함께 다른것도 같이 하시는거 같으신데요. 분리해서 운영해보시는것도 고려 해보세요.
호스팅이 필요하시다면 어느선의 트래픽까지는 무료로 넣어드릴순 있습니다.
몇몇 특정사이트에 출몰(?)하던데... 쵸코입니다 님의 말씀대로 아이피테이블를 이용하셔서
잠깐 막아두시거나, 사설 방화벽(코모도와같은..) 설정과 더불어 랜카드 교체를 해보심이...조심스럽게 의견 남깁니다.
웹서버와 함께 다른것도 같이 하시는거 같으신데요. 분리해서 운영해보시는것도 고려 해보세요.
호스팅이 필요하시다면 어느선의 트래픽까지는 무료로 넣어드릴순 있습니다.
현재 공격받고있는것이 디도스가 아닌것같습니다.
네트워크는 멀쩡합니다.
단시간안에 로그를 많이한걸로보아...버튼을 무한클릭하는것같기도합니다...
도통모르겟네요...
네트워크는 멀쩡합니다.
단시간안에 로그를 많이한걸로보아...버튼을 무한클릭하는것같기도합니다...
도통모르겟네요...
Slowloris 가 서버를 공격하는 방식이 partial HTTP request 를 보내는 식이거든요. 마치 무한 F5 버튼을 누르듯이...
말씀하시는게 Sloworis/Sloworis variant 인 것 같은데요.....
프록시 IP 막는거는
<?php if(@fsockopen($_SERVER['REMOTE_ADDR'], 80, $errstr, $errno, 1))
die("fuck off ㅆ ㅂ ㄹ ㅁ"); ?>
말씀하시는게 Sloworis/Sloworis variant 인 것 같은데요.....
프록시 IP 막는거는
<?php if(@fsockopen($_SERVER['REMOTE_ADDR'], 80, $errstr, $errno, 1))
die("fuck off ㅆ ㅂ ㄹ ㅁ"); ?>
쪽지드렸습니다~
