우분투 서버 사용중인데 봇인것 같은데 확인좀 부탁드립니다.
본문
우분투 사용중입니다.
iftop 으로 확인하면
185-182-193-227.hosted-by-worldstream.net
이게 계속 나옵니다.
SemrushBot 요놈은 찾어서 차단하니깐 안보이던데
185-182-193-227.hosted-by-worldstream.net 이것도 악성봇인가요?
어떻게 차단해야 할까요?
답변 3
계속 바뀌어서 들어올거라 가능하면 해외차단 권장합니다
해외차단 방법은 서비스 제공업체에 말하는게 편하고 직접하시려면 geoip 해외차단 문구로 검색해서 적용해보시면 좋을듯합니다
네덜란드라서 geoip로 NL 차단했는데도 계속 들어와지네요. SemrushBot 차단한것 처럼 봇 이름이라도 알수 있으면 차단해볼텐데 정보가 없어서 어떻게 차단해야할지 모르겠습니다 ㅠ.ㅜ
<Directory />
MaxMindDBEnable On
MaxMindDBFile DB /usr/share/GeoIP/GeoLite2-Country.mmdb
MaxMindDBEnv MM_COUNTRY_CODE DB/country/iso_code
SetEnvIf MM_COUNTRY_CODE ^(CN|NL) BlockCountry
<RequireAll>
Require all granted
Require not env BlockCountry
</RequireAll>
</Directory>
<Directory />
# SetEnvIfNoCase User-Agent ^$ bad_bot
SetEnvIfNoCase User-Agent "^MJ12bot" bad_bot
SetEnvIfNoCase User-Agent “^mj12bot” bad-bot
SetEnvIfNoCase User-Agent "^MJ12bot/v1.4.5" bad_bot
SetEnvIfNoCase User-Agent “^MJ12bot/v1.4.8” bad-bot
#악성봇...
SetEnvIfNoCase User-Agent "SemrushBot" bad_bot
SetEnvIfNoCase User-Agent "SemrushBot-SA" bad_bot
SetEnvIfNoCase User-Agent "DomainCrawler" bad_bot
SetEnvIfNoCase User-Agent "MegaIndex.ru" bad_bot
SetEnvIfNoCase User-Agent "AlphaBot" bad_bot
SetEnvIfNoCase User-Agent "worldstream" bad_bot
SetEnvIfNoCase User-Agent "worldstreamBot" bad_bot
<RequireAll>
Require all granted
Require not env bad_bot
</RequireAll>
</Directory>
현재 코드입니다.
vpn으로 국가 차단 확인은 다마쳤고요.
웹로그 응답코드 일부 보여주시겠어요?
웹서버 geoip 에서 막는것은 웹서버로 연결이 이뤄지고 이후 403이라던지 거부응답을 보내는 방식입니다닏
즉, iftop 으로 보면 서버통신자체는 이뤄지기때문에 계속들어오는것이라고 생각하실수있지만
웹서버 로그 확인해서 계속 거부응답을 하고있는지 궁금하네요
서버자체로 안들어오게하려면 firewalld 서버내 방화벽 으로 막거나 앞단에 방화벽장비에서 막아야합니다.
직접봐야할거같은데요
우선 도메인이랑 계속들어오고있다는 공격징후 웹로그 부탁합니다
네덜란드말고 해외차단해주시고요
해외서버에서 접속되는지 테스트해보려고 합니다
