auth.log 파일을 살펴봤는데, 하루에만도 셀 수 없이 많은 해킹 시도가 있다는 것을 알 수 있었습니다.
도대체 이 서버 털어서 돈이나오는 것도 아니고, 밥이 나오는 것도 아닌데 왜 그짓들을 시도 하는건지 이해를 할 수가 없었습니다. 악성코드를 심어서 DDOS공격에라도 사용하려고 그런건지..
포트스캐닝이나, 무작위 ID/PW 대입으로 SSH 접속을 시도하는 로그기록도 쉽게 찾아 볼 수 있었습니다.
http://www.ip-adress.com에 추린 IP들을 입력해보니 열이면 아홉 중국에서 시도한 접속이었습니다.
본래 오늘 저녁밥 먹고 나서부터는 개발용 웹 페이지를 구축하려고 했습니다. 하지만 가장 중요한 보안상의 문제가 발견된 이상, 다른 일을은 일단 미뤄 두고 해킹을 시도한 IP들을 차단하는 작업부터 하기로 하였습니다.
iptables 명령
한 개의 IP 차단
iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP
IP 대역 차단
iptables -A INPUT -t filter -s xxx.xxx.xxx.xxx/yy -j DROP
IP 차단 해제
iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP
IP 차단 목록 보기
iptables -L
목록 전체 삭제
iptables -F INPUT
특정 국가의 IP주소 일괄 차단하기
차단할 IP 주소들을 추리다보니 죄다 중국 IP들이었습니다. 이것들을 보일때마다 차단 등록 한다고 해도, 매번 다른 IP에서 공격이 들어올테니 부질 없는 헛짓일 것입니다.
잠시 명상(?)을 하며 스마트한 해결책을 찾다가 중국 IP대역을 모두 차단하기로 마음먹고 방법을 찾아 나섰습니다. 중국에서 이곳 서버로 접속하는 시도는 정보를 얻는 시도라기 보다는 악의적인 목적이 월등히 더 많을거라는 판단에서였습니다.
역시 구글신의 도움으로 쉽게 방법을 찾을 수가 있었습니다.
우선, IP 대역 DB 파일 얻기위해 다음 사이트에 접속해서 최신 버전의 GeoIPCountryCSV.zip을 다운받아 압축을 풀어둡니다.
http://dev.maxmind.com/geoip/legacy/geolite/
GeoIPCountryWhois.csv 파일이 나오는데, 이 파일이 각 국가의 IP 할당 정보가 들어 있는 DB 파일입니다.
그리고 다음과 같은 스크립트를 만들어 위 DB파일과 같은 디렉토리에 ipban.sh로 저장합니다.
여기서는 중국 IP 대역만 차단하기 위해 5번째 줄에 "China"라고 썼는데, 다른 국가를 차단하고 싶다면 이 부분을 해당 국가로 바꾸면 됩니다. 국가별 표기 방법은 csv파일을 열어서 찾아보면 알 수 있습니다.
#!/bin/sh SRC=./GeoIPCountryWhois.csv for BANIP in `egrep "China" $SRC | cut -d, -f1,2 | sed -e 's/"//g' | sed -e 's/,/-/g'` do /sbin/iptables -A INPUT -p all -m iprange --src-range $BANIP -j DROP done
ipban.sh 파일에 실행 권한을 준 뒤, 터미널에서 실행하면 특정 IP 대역의 접속을 모조리 차단할 수 있습니다.