갑자기 사이트랑 연동된 여러곳에서 알림이 막 뜨길래 뭔가해서 액세스 로그를 보니 해킹 로그가 쌓이고 있더라고요
독일쪽에서 공격이 오고 있는거 같은데, 주로 SQL injection 공격이 오는거 같습니다
일단 지금 피해를 막기 위해서 서버는 내린 상태입니다
이거 대처를 어떻게 해야할까요?
KISA에 신고를 해야하는건지 좀 감이 안잡히네요;;
서버를 다운시키려고 계속 sleep, waitfor delay 같은 요청을 보내네요..
-
IP 차단하면 그만입니다. 어차피 코어 모듈에 SQL 인젝션은 안 통해요. -
그냥 아이피 차단 먹이고 서비스 올려도 괜찮을까요?
뭔가 아이피 바꿔서 또 공격들어올까봐 좀 걱정이네요 -
네, 이미 클플에서 어느 정도 막아주고 있고,
불필요한 로그가 쌓이는 것 외에 특별한 데미지는 없으니까요. -
저게 under attack 모드를 켜서 막기 시작한거라, 일단 아이피 막고 계속 활성화해둔 상태로 한동안 있어봐야겠네요
감사합니다 :D -
추가로, 한두개 특정 IP가 말썽이면 그 IP대역 소유 회사에 항의할수도 있죠. 원글에 나온 아이피는 데이터센터 아이피네요. 그럼 그 데이터센터 관리자에게 항의 이메일 보내볼수 있습니다. 보나마나 그 서버가 해킹당해 이용당하는 것이겠죠.
-
그럴거 같아서 일단 HETZNER에 메일을 보내두긴 했습니다.
대처가 되면 좋고, 아니더라도 일단 차단해둔 상태이니 모니터링하면서 또 다른 문제가 생기는지 기다려봐야겠네요 -
저런걸 막아주는게 WAF라는건데, 무료로 쓰는 방법은 없을거에요.
클플 pro 플랜으로 업그레이드하고 managed WAF쓰는게 그나마 가장 저렴한 방법일 겁니다. -
무료플랜은 WAF 룰을 5개까지 사용할 수 있어서 저 아이피 차단을 넣어두긴 했습니다.
프로플랜은 저런 해킹 시도를 자동으로 막아주나요? -
저런 해킹시도 종류를 OWASP TOP10 이라고 하는데, 대부분의 상용 WAF에서는 자동으로 막아줍니다.
WAF에서 막을 경우, 실제 서버까지 트래픽이 안옵니다. (WAF 에서 block)
WAF나 IPS/IDS 를 사용할 경우, 실제 서버 소프트웨어가 취약하더라도, 취약한 요청이 실패하도록 상당한 방어를 해줍니다.
근데 개인사이트나 무료환경에서는 비용의 문제가 있으므로, 저라면
(ip.geoip.continent eq "EU") then Block 룰을 추가할것 같아요.