Wordpress 사이트를 이용한 ddos공격. 그리고 느려진 회사 사이트.

Wordpress 사이트를 이용한 ddos공격. 그리고 느려진 회사 사이트.

ddos 공격에 의해 회사 사이트가 느려졌어!!

회사 사이트를 wordpress를 이용하여 제작하고 운영하고 있다.
어느날 갑자기 사이트가 너무나도 늦게 열리고 있었고. 서버에 붙어 cpu사용량(3% 왔다갔다)과 메모리를 체크(1% 왔다갔다)해도 어떠한 문제도 감지하기 어려운 상태였다. 어제 진행했던 apt-get update와 upgrade의 문제인지 혹은 Google의 mod_pagespeed 설치에 따른 문제인지 알 수가 없었다.

Access_log에 의심되는 로그가 발견되었어.

access_log 를 까보니 동일한 요청이 확인되었다.
 [26/Apr/2016:15:24:35 +0000] "POST /xmlrpc.php HTTP/1.0" 200 370
"POST /xmlrpc.php 의 반복이 의심되었다.

검색을 통해 알아낸 것은 wordpress를 통하여 ping을 던지도록 하는 방식의 Ddos공격에 회사 사이트를 사용할 수 있다는 점을 알게되었다. [참고 블로그글]

xmlrpc.php 필터추가하여 방어

xmlrpc.php를 삭제하면 쉽게 끝나겠지만 wordpress에서 기본적으로 사용되는 파일이기 때문에 사용되는 테마의 functions.php 안에 필터를 삽입하여 Ddos에 이용되지 않도록 하였다. [참고 블로그글]

route을 이용한 IP차단

xmlrpc.php를 악용하는 사례를 방지하기 위해서 필터를 추가하였음에도 지속적인 request가 확인되어 IP를 차단하기로 했다. 서비스 재실행이 필요없는 route명령어로 해당 아이피를 차단했다. [참고 블로그글]

IP관리자에게 메일송신

의미가 있는 행위인지는 모르겠으나, 해당 인터넷 서비스관련 관리자에게 해당 사례를 신고하여 마무리 하였다. 방법은 아래와 같이 했다.

• http://mylocation.co.kr/ 를 통해서 IP를 조회했다.
• % Abuse contact for 'XXX.XXX.XXX.0 - XXX.XXX.XXX.255' is 'abuse@some-domain.com' 과 같은 정보를 찾고 해당 이메일 주소를 확인한다.
• 그리고 사례에 대한 간단한 설명과 조취를 요구한다.

사이트 정상 속도 회복

이 과정을 통하여 사이트가 정상 속도로 회복되었다.

너무나도 좋지만 앞으로 서버 관리에 대한 고민이 더 앞선다........