널(NULL) 문자 포함 

URL 없음

호스트 헤더 없음

호스트 문자셋 비정상

경로 문자셋 비정상

컨텐츠 길이 헤더 비정상

Content-type 헤더 없음

헤더 값 없음

User-agent 없음

Range 헤더 분류 개수

쿼리 개수

페이로드 개수

Log

http://IP/wls-wsat/CoordinatorPorttype

펌)

질문 드립니다. 

얼마전부터 sentry에 http://내ip/wls-wsat/CoordinatorPortType url에서 에러가 찍힙니다. 

시도한 사람을 찾아보니 제가 운영하는 사이트의 미러 사이트를 만든 사람이었습니다. 

구글링을 해보니 해킹시도인것 같습니다.

일단 400에서는 redirect 시켜놓았는데 실패를 하고 있지만 vpn을 써서 끊임없이 시도를 하는게 찜찜합니다. 

보안을 강화해야 할 것 같은데 어떻게 해야할지 조언부탁드립니다.!!

우분투, 아파치 사용중 입니다.

https://github.com/kkirsche/CVE-2017-10271/blob/master/README.md

DB의 취약점을 이용해 서버에 권한을 취득하고 채굴프로그램을 돌리기위해 취약점을 

알아보는 프로그램의 패턴같네요 ip만 바꿔서 전세계에서 들어오네요(툴이 아마 엄청 퍼진듯)

Geoip로 막기 전까진 중국 홍콩 싱가폴 파키스탄 등등에서 불량 접속 시도가 계속 되더군요 
미국이나 독일 아이피도 간혹 발견되기도 했어요

47.xx.xx.141 - - [21/May/2018:00:13:50 +0900] "POST /wls-wsat/CoordinatorPortType HTTP/1.1" 404 306 "-" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"

게시판 등에서 스크립트 파일을 업로드 하는 것에 대한 허용/탐지/차단

HTTP 요청 데이터를 검사하여 웹 어플리케이션의 취약점을 노리는 공격을 탐지/차단

어플리케이션 개발 당시부터 가지고 있는 자체 취약점을 직접 공격하여 이를 통해 웹 기반 공격 등 을 수행. 

공격대상 : 모든 웹 어플리케이션 (워드프레스, 제로보드 등)

공격유형 : 외부 코드 삽입 공격, 버퍼오버플로우 공격

ㅁ 웹 취약점 스캐너

타겟 웹 서버에 존재하는 취약점들을 찾아내어 공격자에게 알려주는 역할을 한다.  따라서 공격자는 이를 이용하여 보다 쉽게 타겟 서버에 공격 할 수 있다.

ㅁ SQL 인젝션 스캐너

운영하는 사이트가 SQL Injection 공격에 대한 취약점이 있는지 자동으로 검사하여 이를 알려 주는 프로그램.

ㅁ 프록시 툴

Request를 받을 서버와 Client의 중간에 위치하여 브라우저 정보를 변조하거나, 

특정 매칭되는 정보가 전송될시에 값을 바꾸어 보낸다거나 할수 있다. 

웹에서 사용되는 많은 Encoding들과 Hash값들을 Encode/Decode해볼수 있고 Request를 만들어서 전송할수 있다. 

(쿠키와 POST/GET 변조 가능)

ㅁ 스팸봇

자동으로 댓글, 게시물 등을 생산하는 프로그램

인터넷 게시판과 소셜미디어에서 일반 사람들의 이메일 주소와 소셜미디어 계정 대량 수집해 사용.

정해진 구조에 맞춰 단어만 바꿔가면서 수백 만개의 댓글을 다발적으로 작성.