전 워드프레스 블로그를 직접 구축해서 사용하고 있고
Apache 웹서버의 Access Log와 JavaScript로 만든 방문자 카운터 로그를
별도의 서버로 전송해 저장하고 분석을 합니다.
그런데 몇 일 전부터 희한한 트래픽들이 늘어났습니다. 워드프레스의 tag 를 통한 접근인데요.
bingbot이나 googlebot의 접근이야 그렇다 치는데... 정체를 알 수 없는 수 많은 IP에서
User-Agent에 bot이나 crawler 정보 없이 접근합니다. 다음과 같이 말이죠.
그래서 이 IP 들을 조회해보니... 북경, 싱가폴, 홍콩, 그리고 멕시코의 IP도 있었고.....
특이한건 중국의 텐센트와 화웨이 클라우드에 할당된 IP들 입니다.
세번째 컬럼이 Referer 인데... 비어 있고 User Agent에도 Bot이나 Crawler 임을 알리는 정보가 없습니다.
이런 트래픽이 하루종일 계속됩니다.
그리고 당연하게도 애드센스에는 카운트가 되지 않습니다.
네...트래픽과 CPU만 잡아먹는 트래픽이죠. 혹시나 취약점을 공격하는 접근인가 싶어 Apache의
Access로그를 분석해봐도 별다른 이상행위는 없습니다.
지금까지는 .htaccess와 iptable에 ACL을 적절히 넣어서 차단했는데...
저 IP들은 워낙 규칙도 없고 광범위한 IP 대역에 흩어져 있어서...
어쩔 수 없이 클라우드 플레어(WAF) 무료 플랜을 적용했습니다.
별로 사용하고 싶지는 않았는데 일단 임시로 적용했습니다.
그리고 다음과 같이 Referer 주소가 없으면서 중국, 홍콩, 싱가폴의 IP를 가진 접근은 차단해버렸습니다.
멕시코는 트래픽이 드문~드문 발생해서 그냥 냅뒀습니다.
참 1도 도움안되는 중국입니다.
저는 약간 비슷하긴 한데 저런 공격 받았다가 사이트 쓰레기 되어서 버린적이 있습니다. 방치했던 사이트인데 애들이 프로그램 개발용 테스트를 했는지... 나중엔 스팸지수며 사이트가 회복이 안되는 상황이되어 버렸던 적이 기억나네요. 몇년전이긴 합니다.
그래도 막는 이는 오늘도 홧팅!! 해야 합니다. 홧팅!!