사이트 해킹 시도 어떻게 대처해야할까요?

리버스

2022.09.21 07:44

1,722

스크린샷 2022-09-21 오후 4.17.22.png

갑자기 사이트랑 연동된 여러곳에서 알림이 막 뜨길래 뭔가해서 액세스 로그를 보니 해킹 로그가 쌓이고 있더라고요

스크린샷 2022-09-21 오후 4.40.48.png.jpg

독일쪽에서 공격이 오고 있는거 같은데, 주로 SQL injection 공격이 오는거 같습니다

스크린샷 2022-09-21 오후 4.18.17.png

스크린샷 2022-09-21 오후 4.18.43.png

스크린샷 2022-09-21 오후 4.20.58.png

일단 지금 피해를 막기 위해서 서버는 내린 상태입니다

이거 대처를 어떻게 해야할까요?

KISA에 신고를 해야하는건지 좀 감이 안잡히네요;;

스크린샷 2022-09-21 오후 4.44.52.png

서버를 다운시키려고 계속 sleep, waitfor delay 같은 요청을 보내네요..

리버스 Lv. 7

기진곰

2022.09.21 07:56 #1710379

IP 차단하면 그만입니다. 어차피 코어 모듈에 SQL 인젝션은 안 통해요.

추천 2
리버스

2022.09.21 07:59 #1710383

그냥 아이피 차단 먹이고 서비스 올려도 괜찮을까요?

뭔가 아이피 바꿔서 또 공격들어올까봐 좀 걱정이네요

추천 0
기진곰

2022.09.21 08:04 #1710395

네, 이미 클플에서 어느 정도 막아주고 있고,
불필요한 로그가 쌓이는 것 외에 특별한 데미지는 없으니까요.

추천 0
리버스

2022.09.21 08:07 #1710407

저게 under attack 모드를 켜서 막기 시작한거라, 일단 아이피 막고 계속 활성화해둔 상태로 한동안 있어봐야겠네요
감사합니다 :D

추천 0
토비리

2022.09.21 10:34 #1710463

추가로, 한두개 특정 IP가 말썽이면 그 IP대역 소유 회사에 항의할수도 있죠. 원글에 나온 아이피는 데이터센터 아이피네요. 그럼 그 데이터센터 관리자에게 항의 이메일 보내볼수 있습니다. 보나마나 그 서버가 해킹당해 이용당하는 것이겠죠.

추천 0
리버스

2022.09.21 14:49 #1710484

그럴거 같아서 일단 HETZNER에 메일을 보내두긴 했습니다.

대처가 되면 좋고, 아니더라도 일단 차단해둔 상태이니 모니터링하면서 또 다른 문제가 생기는지 기다려봐야겠네요

추천 0
라엘

2022.09.21 11:35 #1710469

저런걸 막아주는게 WAF라는건데, 무료로 쓰는 방법은 없을거에요.
클플 pro 플랜으로 업그레이드하고 managed WAF쓰는게 그나마 가장 저렴한 방법일 겁니다.

추천 0
리버스

2022.09.21 14:50 #1710488

무료플랜은 WAF 룰을 5개까지 사용할 수 있어서 저 아이피 차단을 넣어두긴 했습니다.

프로플랜은 저런 해킹 시도를 자동으로 막아주나요?

추천 0
라엘

2022.09.22 01:16 #1710531

저런 해킹시도 종류를 OWASP TOP10 이라고 하는데, 대부분의 상용 WAF에서는 자동으로 막아줍니다.
WAF에서 막을 경우, 실제 서버까지 트래픽이 안옵니다. (WAF 에서 block)

WAF나 IPS/IDS 를 사용할 경우, 실제 서버 소프트웨어가 취약하더라도, 취약한 요청이 실패하도록 상당한 방어를 해줍니다.
근데 개인사이트나 무료환경에서는 비용의 문제가 있으므로, 저라면
(ip.geoip.continent eq "EU") then Block 룰을 추가할것 같아요.

추천 0