[Security] wordpress 를 향한 잦은 크롤링 및 악성 봇 관련 차단일지

You are currently viewing [Security] wordpress 를 향한 잦은 크롤링 및 악성 봇 관련 차단일지
wordpress 악의적인 접근 차단 이미지
Wordpress 공격을 막는 이미지 - Created by gemini
WordPress 공격을 막는 이미지 – Created by gemini

 

개요

최근 WordPress 를 운영하면서 악성 봇 접근의 시도가 매우 많이 늘어난 것을 짐작할 수 있었다.

과거부터 악의적인 접근으로 추정되는 IP 대역을 항상 C클래스 대역으로 Cloudflare 를 통해 전체 차단을 걸고 처리를 하였는데 최근 이러한 공격이 더욱 더 가중되었다.

아래와 같은 로그를 보고 판단해볼 수 있었다.

사실 엄청 대단한 내용은 아니고 간단하게 로그를 보고 인터넷을 찾아보면서 검증한 사항이라 이런일도 있구나 정도로 생각하고

게시글을 봤으면 좋겠다.

 

 

악성 Bot 로그

로그가 너무 많아 다 담을 수는 없었지만, 가장 많은 악의적인 접근 기록을 보여줬던 대역은 AS8075(MICROSFOT-CORP-MSN-AS-BLOCK) 으로

Bing 이나 Microsoft 365 같은 정상적인 Microsoft 의 대역도 있지만, 악의적인 봇 대역도 다수 확인되고 있는 봇을 확인할 수 있었다.

 

대부분 아일랜드 국가의 IP 대역으로 접근해오고 있고

이러한 IP 를 로깅하고 공유하는 AbuseIPDB 에서도

해당 AS8075 의 IP 대역들에 대한 리포트수가 매우 높았음을 알 수 있었다.

 

 

크롤링 의심 로그

이 IP 대역 역시 로그가 너무 많아 모두 다 담을 수 없었으나

이 로그들이 고작 단 하루의 access.log 에 기록된 접근 로그였다.

같은 C 클래스 대역에서 일정 주기마다 비슷한 index 접근 시도가 반복적으로 접속하고 있었으나

User-Agent 가 일반 사용자와 비슷하게 속여 접근해서 Bot 접속인지 아닌지를 파악하기가 힘들었다.

AbuseIPDB 에서는 해당 IP 대역으로 리포트 된 이력은 없었으나, 유사한 패턴에 대한 문의가 있는지 확인하기 위해

해당 IP 로 구글링 해본 결과 국내 사이트 등지에서 해당 IP 대역을 크롤링 봇으로 간주하고 C클래스 대역을 차단한 걸로 확인된다.

 

Cloudflare 이력

24시간 동안의 트래픽 추이
24시간 동안의 트래픽 추이

내 서버상에서는 대략 4,000여개의 접근이 Cloudflare 에 의해 차단되거나 챌린지로 전환이 되었고 이는 전체적인 트래픽의 약 1/4 정도를 차지했다.

이와같이 악성 봇은 대체적으로 일반적인 사용자 ISP 대역이 아닌 호스팅 서버 위주의 기업용 대역에서 잦은 트래픽 접근이 많은 사례다.

 

지금 이 시간에도, 여전히 내 서버는 잦은 Bot 의 공격을 받고 있다.
지금 이 시간에도, 여전히 내 서버는 잦은 Bot 의 공격을 받고 있다.

지속적인 로그를 통한  관리를 통해 내 서버가 악성코드의 온상지가 되지 않도록 하는것이 중요하고 항상 로그에 대해서는 신경을 쓰는것이 좋아 보인다.

 

악의적인 Bot 대역

악성 Bot

주의 : 이 악성 Bot 대역은 Microsoft Bing 이나 Microsoft 365 등에서 쓰이는 정상적인 IP 대역도 있으므로 ASN을 전체 차단하는 경우 해당 시스템에 이슈가 있을 수 있습니다.

    • 52.169.23.0/24
    • 62.178.186.0/24
    • 52.169.90.0/24
    • 52.178.216.0/24
    • 52.164.229.0/24
    • 52.178.215.0/24
    • 52.138.142.0/24
    • 52.178.178.0/24
    • 52.178.145.0/24
    • 52.138.216.0/24
    • 52.169.150.0/24
    • 52.164.228.0/24
    • 52.169.253.0/24
    • 52.169.200.0/24
    • 52.164.121.0/24
    • 52.169.53.0/24
    • 52.178.179.0/24
    • 52.178.177.0/24
    • 52.169.149.0/24
    • 52.169.40.0/24
    • 52.164.231.0/24
    • 52.178.148.0/24
    • 52.138.177.0/24
    • 52.169.141.0/24
    • 52.138.141.0/24
    • 52.138.221.0/24
    • 52.169.142.0/24
    • 52.169.0.0/24
    • 52.178.223.0/24
    • 52.178.190.0/24
    • 52.169.74.0/24
    • 52.178.204.0/24
    • 52.164.250.0/24
    • 52.138.217.0/24
    • 52.138.139.0/24
    • 52.240.57.0/24
    • 52.156.70.0/24
    • 52.254.87.0/24
    • 52.149.208.0/24
    • 52.249.180.0/24

크롤링 의심 로그

  • 222.239.104.0/24