전 워드프레스 블로그를 직접 구축해서 사용하고 있고
Apache 웹서버의 Access Log와 JavaScript로 만든 방문자 카운터 로그를
별도의 서버로 전송해 저장하고 분석을 합니다.
그런데 몇 일 전부터 희한한 트래픽들이 늘어났습니다. 워드프레스의 tag 를 통한 접근인데요.
bingbot이나 googlebot의 접근이야 그렇다 치는데... 정체를 알 수 없는 수 많은 IP에서
User-Agent에 bot이나 crawler 정보 없이 접근합니다. 다음과 같이 말이죠.
그래서 이 IP 들을 조회해보니... 북경, 싱가폴, 홍콩, 그리고 멕시코의 IP도 있었고.....
특이한건 중국의 텐센트와 화웨이 클라우드에 할당된 IP들 입니다.
세번째 컬럼이 Referer 인데... 비어 있고 User Agent에도 Bot이나 Crawler 임을 알리는 정보가 없습니다.
이런 트래픽이 하루종일 계속됩니다.
그리고 당연하게도 애드센스에는 카운트가 되지 않습니다.
네...트래픽과 CPU만 잡아먹는 트래픽이죠. 혹시나 취약점을 공격하는 접근인가 싶어 Apache의
Access로그를 분석해봐도 별다른 이상행위는 없습니다.
지금까지는 .htaccess와 iptable에 ACL을 적절히 넣어서 차단했는데...
저 IP들은 워낙 규칙도 없고 광범위한 IP 대역에 흩어져 있어서...
어쩔 수 없이 클라우드 플레어(WAF) 무료 플랜을 적용했습니다.
별로 사용하고 싶지는 않았는데 일단 임시로 적용했습니다.
그리고 다음과 같이 Referer 주소가 없으면서 중국, 홍콩, 싱가폴의 IP를 가진 접근은 차단해버렸습니다.
멕시코는 트래픽이 드문~드문 발생해서 그냥 냅뒀습니다.
참 1도 도움안되는 중국입니다.
---- 추 가 ----
룰을 조금 수정했습니다. Referer 주소가 없고 검증된 Bot, Crawler가 아니면 캡차를 띄우는 걸로 수정했습니다.
하루밤이 지났습니다. 그리고 다음 화면처럼 매우 쾌적해졌습니다.
이 평화가 오래 가길 바랍니다.
저는 약간 비슷하긴 한데 저런 공격 받았다가 사이트 쓰레기 되어서 버린적이 있습니다. 방치했던 사이트인데 애들이 프로그램 개발용 테스트를 했는지... 나중엔 스팸지수며 사이트가 회복이 안되는 상황이되어 버렸던 적이 기억나네요. 몇년전이긴 합니다.
그래도 막는 이는 오늘도 홧팅!! 해야 합니다. 홧팅!!
어제 밤에 룰을 수정했습니다. 결국 Referer 주소가 없고 검증된 Bot, Cralwer가 아니면 캡차를 띄우는 걸로 룰을 수정했습니다. 물론 그 앞에서 무조건 허용할 IP나, User-Agent를 추가하는 룰을 먼저 적용했구요. 그랬더니.. Referer 주소가 없는 실제 사람의 접근이 아닌 건 본문 마지막에 추가한 것 처럼 싹~ 사라지고 Referer가 있는 접근만 블로그까지 옵니다.
성능 이슈만 없다면 한동안은 클라우드플레어를 적용해두려고 합니다.
참..쾌적한 아침입니다.