며칠 전부터 해킹 공격을 시도하고 있지만 실제로는 모두 괜찮은 것 같습니다.
그런데 설명할 수 없는 로그를 봤습니다.
127.0.0.1:443 216.218.206.66 - - [09/Oct/2015:04:49:29 +0200] "GET / HTTP/1.1" 404 4857 "-" "-"
127.0.0.1:80 220.181.108.177 - - [09/Oct/2015:07:56:11 +0200] "-" 408 0 "-" "-"
127.0.0.1:443 199.115.117.88 - - [09/Oct/2015:10:35:04 +0200] "GET /admin/i18n/readme.txt HTTP/1.1" 404 5081 "-" "python-requests/2.8.0"
내 로그 구성은 다음과 같습니다.
# - Exeption
SetEnvIf Request_URI "\.jpg$|\.jpeg$|\.gif$|\.png$|\.ico|\.icon|\.css$|\.js$|piwik\.php$|frogglogin\.php" dontlog
SetEnvIf User-agent "(bot|baidu)" dontlog
CustomLog ${APACHE_LOG_DIR}/access.log vhost_combined env=!dontlog
- 127.0.0.1에 도달하도록 요청하는 것이 어떻게 가능합니까?
- 408 오류를 방지하려면 어떻게 해야 하나요?
- 이런 종류의 공격이 들어오는 것을 보고 당황해야 합니까?
감사해요
추신:
이거 좋은 생각이야?
<VirtualHost 127.0.0.1>
# [ Default restriction ]
<Directory />
Order deny,allow
Deny from all
allow from 127.0.0.1
</Directory>
</VirtualHost>
답변1
공용 IP 주소가 루프백 주소에 직접 도달할 수 있는 방법은 없습니다. 아파치에게 그렇게 하도록 지시했거나 일부 구성이 잘못되었기 때문에 아파치가 해당 IP 주소를 루프백으로 변환하는 것은 NAT의 문제입니다.
그런 상황에 당황할 필요는 없습니다. 로그인 페이지 등을 시도하도록 설계된 봇넷 및/또는 자동화된 앱의 공격을 받는 것은 정상입니다.
이 시도가 진행 중이면 다음을 확인하고 싶습니다.
netstat -an (or adding additional parameters)
연결을 확인하려면.
답변2
이것이 내가 이것을 타는 방법입니다.
"else" 요청(다른 가상 호스트와 일치하지 않는 요청)을 잡기 위해 정의된 모든 가상 호스트 뒤에 이 구성을 추가했습니다. 가장 중요한 것은 가상 위치(마지막)와 명령입니다.ServerAlias *
#---------------#
# [ LOCALHOST ] #
#---------------#
# Local host for other:
# ServerName localhost
# ServerName 88.xxx.xxx.xxx
# ServerName xxxxxxxx.net
# and more ...
# need to be at the last position
<VirtualHost *:80 *:443>
# [ Server Domain ]
ServerName localhost
ServerAlias *
# [ Server Root ]
DocumentRoot /var/www/home/
# [ Cancel trafic ]
RewriteCond %{REQUEST_URI} !errors\/hack\.htm
RewriteRule .*? - [END,R=406]
# [ Custom Log ]
CustomLog ${APACHE_LOG_DIR}/hack.log combined
</VirtualHost>