레퍼러까지 속여서 자동가입을 하네요. 정보
레퍼러까지 속여서 자동가입을 하네요.본문
210.205.113.175 - - [10/Mar/2021:04:13:04 +0900] "POST /bbs/register_form.php HTTP/1.1" 200 40855 "https://도메인/bbs/register.php" "-"
210.205.113.175 - - [10/Mar/2021:04:13:04 +0900] "POST /plugin/kcaptcha/kcaptcha_session.php HTTP/1.1" 200 - "-" "-"
210.205.113.175 - - [10/Mar/2021:04:13:04 +0900] "GET /plugin/kcaptcha/kcaptcha_image.php?t=1615317186913 HTTP/1.1" 200 5456 "http://www.koscos.kr/bbs/register.php" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36"
210.205.113.175 - - [10/Mar/2021:04:13:04 +0900] "POST /plugin/kcaptcha/kcaptcha_result.php HTTP/1.1" 200 - "-" "-"
210.205.113.175 - - [10/Mar/2021:04:13:04 +0900] "POST /plugin/kcaptcha/kcaptcha_session.php HTTP/1.1" 200 - "-" "-"
210.205.113.175 - - [10/Mar/2021:04:13:04 +0900] "GET /plugin/kcaptcha/kcaptcha_image.php?t=1615317187211 HTTP/1.1" 200 4948 "http://www.koscos.kr/bbs/register.php" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36"
210.205.113.175 - - [10/Mar/2021:04:13:04 +0900] "POST /plugin/kcaptcha/kcaptcha_result.php HTTP/1.1" 200 - "-" "-"
210.205.113.175 - - [10/Mar/2021:04:13:04 +0900] "POST /plugin/kcaptcha/kcaptcha_session.php HTTP/1.1" 200 - "-" "-"
210.205.113.175 - - [10/Mar/2021:04:13:05 +0900] "GET /plugin/kcaptcha/kcaptcha_image.php?t=1615317187470 HTTP/1.1" 200 4673 "http://www.koscos.kr/bbs/register.php" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36"
210.205.113.175 - - [10/Mar/2021:04:13:05 +0900] "POST /plugin/kcaptcha/kcaptcha_session.php HTTP/1.1" 200 - "-" "-"
210.205.113.175 - - [10/Mar/2021:04:13:05 +0900] "GET /plugin/kcaptcha/kcaptcha_image.php?t=1615317187759 HTTP/1.1" 200 5169 "http://www.koscos.kr/bbs/register.php" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36"
210.205.113.175 - - [10/Mar/2021:04:13:05 +0900] "POST /plugin/kcaptcha/kcaptcha_result.php HTTP/1.1" 200 - "-" "-"
210.205.113.175 - - [10/Mar/2021:04:13:05 +0900] "POST /plugin/kcaptcha/kcaptcha_session.php HTTP/1.1" 200 - "-" "-"
210.205.113.175 - - [10/Mar/2021:04:13:05 +0900] "GET /plugin/kcaptcha/kcaptcha_image.php?t=1615317188092 HTTP/1.1" 200 4841 "http://www.koscos.kr/bbs/register.php" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36"
210.205.113.175 - - [10/Mar/2021:04:13:05 +0900] "POST /plugin/kcaptcha/kcaptcha_session.php HTTP/1.1" 200 - "-" "-"
210.205.113.175 - - [10/Mar/2021:04:13:05 +0900] "GET /plugin/kcaptcha/kcaptcha_image.php?t=1615317188261 HTTP/1.1" 200 5632 "http://www.koscos.kr/bbs/register.php" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36"
210.205.113.175 - - [10/Mar/2021:04:13:05 +0900] "POST /plugin/kcaptcha/kcaptcha_session.php HTTP/1.1" 200 - "-" "-"
210.205.113.175 - - [10/Mar/2021:04:13:06 +0900] "GET /plugin/kcaptcha/kcaptcha_image.php?t=1615317188486 HTTP/1.1" 200 4414 "http://www.koscos.kr/bbs/register.php" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36"
210.205.113.175 - - [10/Mar/2021:04:13:06 +0900] "POST /plugin/kcaptcha/kcaptcha_result.php HTTP/1.1" 200 1 "-" "-"
최근에 이상하게 그누보드로 만들어진 사이트들에 자동가입이 늘어서 뭐지 하고 있었는데
레퍼러까지 조작해서 자동가입하는 툴이 나왔나봅니다.
몇일전부터는 글도 썼다 지웠다 하고 있고 광고글 남기는 테스트도 하고 있는걸로 보이네요.
뭔가 조치를 해야 할것 같은데 어떤 조치를 하면 좋을지.....
1
베스트댓글
댓글 10개
회원정보를 곰곰히 보다가 공통점을 발견했어요.
그래서 그 조건이면 가입 차단이 아니라
exit;
이렇게 했더니 자동가입으로 추정되는 가입이 완전히 사라졌네요.
올려주신 로그를 보니 user-agent도 조금 이상하네요 ㅎㄷㄷ
referer나 user-agent를 변경하는 것은 파이썬 requests에서 headers를 변경하는 것만으로 가능하거든요~
kcaptcha의 경우에는 str(int(time.time()))으로 파라미터를 생성하고 캡챠 jpg 파일을 받아서 OCR을 돌리는 방식으로 공격을 할거에요~
만약 kcaptcha를 사용하신다면 공개된 OCR 툴(Tesseract, Kakao API 등)을 이용하여 어렵지 않게 우회가 가능하기 때문에, 다른 캡챠를 사용하시는 것을 추천 드립니다 ^^
물론 리캡챠도 우회 가능한 툴이 있지만 상대적으로 난이도가 올라갑니다!
다른 분께서 말씀하신 것처럼 fail2ban도 고려해볼 수 있고, 동일한 IP에서 생성 가능한 계정 개수를 제한하는 방법으로 대응할 수도 있겠네요~
(VPN으로 다시 우회를 하겠지만요)
이게 창과 방패와 같은 관계라서 정말 어려운 문제인 것 같아요 ㅠㅠㅠㅠㅠ
작정하고 공격을 하면 방어하는게 쉽지 않더군요~
화이팅입니다!!
저는 일단 캡챠 방식보다는 그냥 테이블 하나 만들어서 앞에서부터 들어오는 경우가 아니면 네이버로 이동시켜버리게 처리 했습니다. 현재까지는 자동가입으로 의심되는 경우는 없는것 같습니다. ^^ 아이피도 같이 저장해 놓고 있으니 추후 양이 많아지면 cron 돌려서 몇번 이상 시도하는 경우 접속 차단 IP에 등록하게 만들까 싶네요.
