글 수 182
![[레벨:15]](http://hosting.digimoon.net/board/modules/point/icons/default/15.gif "포인트:21350point (39%), 레벨:15/30"){kind=icon}
디지문3일 23시 경부터 서버 접속이 제대로 안 된 경우를 겪으셨을 겁니다.
특정 계정으로 TCP SYN Flooding 으로 의심되는 공격이 계속 들어와 아파치 프로세스가 메모리를 모두 소진하고 하드디스크의 SWAP 영역에 페이징이 심하게 걸리면서 서버가 거의 실신 직전까지 가곤 했습니다.
강제로 리부팅해도 아파치 웹서버만 구동되면 순식간에 다시 메모리 사용량이 95퍼센트 이상 차면서 서버가 다시 마비되는 현상이 지속되었습니다.
서버가 버벅대는 가운데에 아파치 웹서버 프로세스 상태를 간신히 살펴본 결과 특정 IP가 계속 공격을 한다는 것을 알 수 있었고 해당 IP로 로그를 남기고 있는 계정을 조사한 결과 http://blastlab.digimoon.net 인 것이 확인되었습니다.
해당 IP는 58.120.182.129이며 iptables 방화벽에서 원천 차단해 두었습니다. 차단하자마자 서버가 제정신을 차리더라는... ^^
웹서버 로그 파일 내용 중 해당 IP 부분만 추출해 낸 결과물은 아래와 같습니다. 넘 길어서 일부만 공개합니다.
홈피 메인 페이지에만 지속적으로 액세스를 시도하였군요. 한국놈입니다.
58.120.182.129 - - [03/Oct/2008:21:13:13 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:38:13 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:20 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:44 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:49 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:09 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:38:53 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:57 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:40:02 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:58 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:40:03 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:40:01 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:40:01 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:59 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:59 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
23:38에서 00:57분까지 12695회의 접속 시도가 있었습니다. ㄷㄷㄷ
문제를 유발한 blastlab 계정은 일시적으로 웹접속 대역폭을 2MB/s로 제한합니다.
온라인게임 불법프리서버를 적발하여 폭파시키는 걸 목적으로 운영하는 홈피라고 하는데 역시나 게임과 관련된 홈피들이 말썽이군요.
아마도 위 홈피에 의해 적발되어 폭파당한 프리서버의 주인장이나 끄나풀이 보복으로 공격을 가한 것일 수도 있겠군요. ㅋ
지금 야근이라 IDC에 상주해 있었기에 다행이지 안 그랬으면 신속한 대응이 더 힘들었을 겁니다. 운 좋았습니다. ㅎㅎ
특정 계정으로 TCP SYN Flooding 으로 의심되는 공격이 계속 들어와 아파치 프로세스가 메모리를 모두 소진하고 하드디스크의 SWAP 영역에 페이징이 심하게 걸리면서 서버가 거의 실신 직전까지 가곤 했습니다.
강제로 리부팅해도 아파치 웹서버만 구동되면 순식간에 다시 메모리 사용량이 95퍼센트 이상 차면서 서버가 다시 마비되는 현상이 지속되었습니다.
서버가 버벅대는 가운데에 아파치 웹서버 프로세스 상태를 간신히 살펴본 결과 특정 IP가 계속 공격을 한다는 것을 알 수 있었고 해당 IP로 로그를 남기고 있는 계정을 조사한 결과 http://blastlab.digimoon.net 인 것이 확인되었습니다.
해당 IP는 58.120.182.129이며 iptables 방화벽에서 원천 차단해 두었습니다. 차단하자마자 서버가 제정신을 차리더라는... ^^
웹서버 로그 파일 내용 중 해당 IP 부분만 추출해 낸 결과물은 아래와 같습니다. 넘 길어서 일부만 공개합니다.
홈피 메인 페이지에만 지속적으로 액세스를 시도하였군요. 한국놈입니다.
58.120.182.129 - - [03/Oct/2008:21:13:13 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:38:13 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:20 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:44 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:49 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:09 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:38:53 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:57 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:40:02 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:58 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:40:03 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:40:01 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:40:01 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:59 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
58.120.182.129 - - [03/Oct/2008:23:39:59 +0900] "GET /zbxe/ HTTP/1.1" 200 1631 "http://blastlab.digimoon.net" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" blastlab.digimoon.net KR
23:38에서 00:57분까지 12695회의 접속 시도가 있었습니다. ㄷㄷㄷ
문제를 유발한 blastlab 계정은 일시적으로 웹접속 대역폭을 2MB/s로 제한합니다.
온라인게임 불법프리서버를 적발하여 폭파시키는 걸 목적으로 운영하는 홈피라고 하는데 역시나 게임과 관련된 홈피들이 말썽이군요.
아마도 위 홈피에 의해 적발되어 폭파당한 프리서버의 주인장이나 끄나풀이 보복으로 공격을 가한 것일 수도 있겠군요. ㅋ
지금 야근이라 IDC에 상주해 있었기에 다행이지 안 그랬으면 신속한 대응이 더 힘들었을 겁니다. 운 좋았습니다. ㅎㅎ
![[레벨:2]](http://hosting.digimoon.net/board/modules/point/icons/default/2.gif "포인트:710point (77%), 레벨:2/30"){kind=icon}
감자칩한봉지![[레벨:1]](http://hosting.digimoon.net/board/modules/point/icons/default/1.gif "포인트:240point (55%), 레벨:1/30"){kind=icon}
엔디자인![[레벨:4]](http://hosting.digimoon.net/board/modules/point/icons/default/4.gif "포인트:1460point (2%), 레벨:4/30"){kind=icon}
fcagu![[레벨:5]](http://hosting.digimoon.net/board/modules/point/icons/default/5.gif "포인트:3105point (86%), 레벨:5/30"){kind=icon}
민석
(솔직히 말하자면 프리서버 폭격 가담했던 1人)