가끔식 사이트 접속이 안되거나 아예 다운이 되던 때가 있었습니다.

제 밑에쪽 글에도 보면 DB 접속이 안되고 있단 이야기가 나옵니다.

 

이걸 확인해보니 메모리가 없다는 호스팅사의 답변과 함께 강제 리부팅을 해달라고 하고 로그를 확인해보니…

특정 아이피가 xmlrpc.php 파일로 계속 공격 하고 있던 겁니다. ㅡ,.ㅡ

검색해보니 유명한 아이피더군요.

그래서 일단 아이피 차단 걸고 xmlrpc.php 파일도 삭제해버리고 나서 이유좀 찾아보니 워드프레스로 구축된 사이트를 노리고 공격 하는 거랍니다. 사이트 계정 탈취나 혹은 좀비로 사용해서 다른 사이트 공격을 시키기 위해서 말이죠.

 

해킹공격 방법에 대해 간략하게 설명하자면 xmlrpc 특성상, 한번의 http 요청으로 수백번의 brute force 시도를 할 수 있거든요. 그래서 효율성이 높아지니 xmlrpc 를 통해 brute force 공격을 하는 것 입니다. 이걸 brute force 증폭 이라고 합니다.

 

 

아 몰랑. 귀찮아! 하시는 분들은 특별히 xmlrpc.php 를 사용하는게 아니라면 삭제해 버리셔도 무방 합니다.

이 물건은 다른 기기로 전달- 즉 안드로이드 같은 곳으로 정보 전달을 하기위한 기능인데, 딱히 사용하는게 아니면 지워버리세요. 혹은 파일명을 변경하셔도 좋구요. 권한도 낮은 권한으로 아무나 실행 못하게 바꾸시거나.

 

결말.

아파치 로그는 틈틈히 확인하자! 끗.

xmlrpc brute force

답글 남기기