VPN를 악용하는 xe 광고글 작성자를 iptables로 차단하는 방법
2017.03.31 16:50
제가 xe를 통해 홈페이지를 운영한지 2년이 조금 넘어가고 있습니다.
별탈없이 잘 운영하던도중 홈페이지에 조금 심각하게 곤란한 일이 있었습니다.
댓글이 한 50개 정도가 이런 형식으로 적혀있더군요 마치 무언가의 광고같습니다.
작성자는 meadc이며 특정 홈페이지가 링크되어있는 글을 1개의 글에 1개씩 작성하였습니다.
처음에 발견 했을때 xe의 관리 페이지로 댓글을 지우고 찜찜하여 홈페이지를 롤백했다가.
두번째에는 저 meadc라는 사용자가 접근을 못하게 해야겠다라고 생각했습니다.
조금 검색을 해보니 meadc가 xe 공식 홈페이지에서도 저런 난리를 피우네요.
댓글의 내용은 네이버 또는 구글에서 meadc xe라는 내용만 검색하시면 어느정도 확인할수있습니다.
이러한 댓글은 홈페이지를 방문해주시는 분에게 신뢰도를 심각하게 떨어트리기때문에 조속한 조치가 필요합니다.
XE에서 관리자 페이지로 간후 댓글을 보면 어느 IP주소가 찍혀있는지 알수있습니다.
보통 저러한 IP는 글 작성시 모자이크 처리를 하지만 이 글에서는 예외로 적어두겠습니다.
후이즈 사이트에서 IP를 검색해봤습니다. 이 IP를 담당하는 기관도 확인할수 있었습니다.
멀리 갈것도 없이 구글링을 통해 IP를 담당하는 기관를 검색했습니다.
검색해 보니 이 업체는 VPN을 제공하고 있다는것을 알수있습니다.
네X버에서도 같은 내용으로 검색하니 위와같은 내용이 나오는군요.
요약해서 정리해보면 해외에서 악의를 가진 누군가가 이 업체의 VPN을 이용하여 말썽을 피우는것같습니다.
글을 작성하던중 이업체의 이름을 예전에 들어봤던것이 떠올랐습니다.
올해 2월달 제 친구가 하는 검XX막의 캐쉬를(현금 충전) 이 업체의 VPN을 이용한 해킹범이 털어간적이
있었던게 기억이 나네요 친구는 업체에 연락을 취해 상황에 대해 안내했지만 자기들은 VPN만 제공할뿐
누가 사용하는지는 알수없다는 답변만 들었다고 합니다.
뭐 잡담은 여기까지 하겠습니다.
이런건은 조속히 조치해서 홈페이지에 못들어오게 해주는게 가장 좋은 방법이니까요.
이 업체는 211.174.96.0부터 - 211.174.127.255까지의 IP를 할당받아 이용하고있습니다.
이걸통해 적어도 서버내로 접근하지 못하게 막아보게끔 설정하겠습니다.
주의 : 아래의 적힌 내용은 저에게 속한 IP의 대역대를 iptables에 등록하여 접근이 불가능 한 부분을 실험한뒤
올린 내용입니다. 다만 이 작업을 통해서 광고글 작성자가 접근을 못하게 하는 효과를 느끼지 못해도
작성자에게 책임을 물을수 없습니다.
참고 1: CentOS 6.11 64bit를 기반으로 합니다.
참고 2: 아래의 iptables는 제가 사용하는 설정의 일부분을 가져온것으로써 만약 이걸 적용하실때는
#VPN 업체 대역 전부 차단부터 대역대를 복사하여 사용하시는 방화벽에 붙여넣은후
룰에 맞게끔 수정해주시면됩니다. 전체를 그대로 이용하면 서버에 접근이 안될수도 있는점 참고 바랍니다.
참고 3: 대역대가 너무 많다고 판단되면 아래의 줄만 추가하면 될것으로 판단되나 실험이 좀 필요합니다.
이렇게 되면 211.174.x.x대역내에 VPN업체에 관련되지 않는 IP가 홈페이지등에 접근할수 없는
단점이 있습니다.
-A RH-Firewall-1-INPUT -s 211.174.0.0/16 -j DROP
# iptables 내용 참고
vi /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1:60] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # VPN 업체 대역 전부 차단 -A RH-Firewall-1-INPUT -s 211.174.96.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.97.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.98.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.99.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.100.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.101.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.102.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.103.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.104.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.105.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.106.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.107.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.108.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.109.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.110.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.111.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.112.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.113.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.114.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.115.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.116.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.117.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.118.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.119.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.120.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.121.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.122.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.123.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.124.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.125.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.126.0/24 -j DROP -A RH-Firewall-1-INPUT -s 211.174.127.0/24 -j DROP COMMIT |
# iptables 덮어쓰기
iptables-restore < /etc/sysconfig/iptables
댓글 2
| 번호 | 제목 | 글쓴이 | 날짜 | 조회 수 |
|---|---|---|---|---|
| 81 | Hardware event. This is not a software error. | 관리자 | 2016.04.29 | 350 |
| 80 | top | 관리자 | 2014.12.24 | 351 |
| 79 |
supermicro IPMIView 사용 방법
 | 관리자 | 2020.04.17 | 357 |
| 78 | apt-get -f install | 관리자 | 2015.07.10 | 368 |
| 77 | Ubuntu Xwindows | 관리자 | 2014.12.08 | 392 |
| 76 |
리눅스 원격접속 프로그램 PUTTY
| 관리자 | 2014.12.27 | 449 |
| 75 |
가상서버에서 Apache-GUI 이용하기-2 CentOS
| 관리자 | 2014.12.08 | 457 |
| 74 | 우분투 파이어폭스 자바 플러그인 적용법 | 관리자 | 2014.12.12 | 477 |
| 73 |
CentOS 6 webmin rpm 설치 하는방법
| 관리자 | 2016.11.02 | 528 |
| 72 |
가상서버에서 Apache-GUI 이용하기-1 Ubuntu
| 관리자 | 2014.12.08 | 534 |
| 71 |
history 시간 출력 방법
| 관리자 | 2014.12.08 | 535 |
| 70 |
메가레이드 LSI 9261-8i BIOS(바이오스) 펌웨어 업데이트 하는법
| 관리자 | 2016.06.16 | 547 |
| 69 | CentOS 7 최소설치시 ifconfig가 없다고 나올때 | 관리자 | 2015.03.14 | 577 |
| » |
VPN를 악용하는 xe 광고글 작성자를 iptables로 차단하는 방법
[2] | 관리자 | 2017.03.31 | 623 |
| 67 | 도커의 설치에 관해 정리 | 관리자 | 2018.04.10 | 629 |
| 66 | 리눅스 세션 자동 종료 | 관리자 | 2015.02.09 | 630 |
| 65 | CentOS와 Ubuntu 로그 차이 | 관리자 | 2015.02.10 | 632 |
| 64 | VirtualHost 사용중 403 에러 해결하기 | 관리자 | 2014.12.28 | 672 |
| 63 |
우분투 16.04 LTS 서버 보안 강화를 위한 knockd 설치 방법
| 관리자 | 2017.07.06 | 697 |
| 62 |
VirtualBox 디스크 이미지 파일을 열 수 없습니다. 해결방법
| 관리자 | 2018.08.02 | 718 |
잠시 지나가다 하나 말씀드립니다.
211.174.125.236 이 아이피는 whois에 나와있는대로 211.174.96.0 ~ 211.174.127.255 를 할당받는 VPN업체의 아이피중 하나입니다.
굳이 각 대역의 서브넷을 24로 맞출 필요 없이 위에 나와있는 대로 211.174.96.0/19 한줄로 설정하게되면 해당 대역 아이피는 모두 차단됩니다.