컴퓨터 / Computer

CentOS 7에서 firewall-cmd를 이용하여 ip 블럭하기

공유지기 1 2,130 2020.06.08 12:02

 


갑작스레 웹 서버가 느려질때가 있는데 그때 잽싸게 httpd의 로그를 봐서 아래와 같은 내용이 있는지 확인해 보라. ( ip는 숨김 )


 X.X.XX.XX - - [04/May/2020:19:54:23 +0900] "GET /category.php?c=11917%20UNION%20ALL%20SELECT%20%28SELECT%20CONCAT%280x71716b6271%2CIFNULL%28CAST%28order_addpoint%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_amount%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_amount_point%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_amount_real%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_cart%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_dlvdate%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_id%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_method%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_quota%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_regdate%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_regip%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_request%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_shipping%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_shop%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_status%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_supplyprice%20AS%20CHAR%29%2C0x20%29%2C0x626661766e77%2CIFNULL%28CAST%28order_user%20AS%20CHAR%29%2C0x20%29%2C0x7171707671%29%20FROM%20checkbox.order_data%20LIMIT%2047860%2C1%29%2CNULL%2CNULL--%20pjNN HTTP/1.1" 200 89986 "-" "sqlmap/1.3#pip (http://sqlmap.org)"


저 로그들은 DB 인젝션 공격을 할때 생기는데, 실제 DB로 갈때는 아래와 같이 전달된다.


 select cnt from view_goods_cnt_w_status_lteq_2_by_cat1 where cat1 = '11917 UNION ALL SELECT (SELECT

 

select * from goods g join category c on g.category_id = c.category_id where c.cat1 = '11917 UNION



저런 스크립트는 DB 서버를 과부하로 이끌어 사망하게 만든다.


여러가지 방법이 있지만 이런 경우 저 위에  ip를 firewall-cmd를 이용하여 블럭 처리해 버리면 된다. 아래 명령어로.



 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address=ip drop'



물론 저 명령어를 실행한 후에는 적용도 해 줘야 한다.


 firewall-cmd --reload




0
0

  • 페이스북으로 보내기
  • 트위터로 보내기
  • 구글플러스로 보내기
  • 카카오스토리로 보내기
  • 네이버밴드로 보내기
  • 네이버로 보내기
  • 텀블러로 보내기
  • 핀터레스트로 보내기

Comments

사랑방지기 2020.08.04 10:18
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address=ip reject'

로 해 보랍니다.

출처 : http://blog.servis.co.kr/index.php/2019/01/31/centos7-firewalld/
로그인한 회원만 댓글 등록이 가능합니다.
닥터트리코 안티헤어로스 바이오틴 탈모샴푸 500g
LED 큰 화면 학생 노인 컬러 패션 디지털 손목 시계
국내제작 소가죽 브이라인 우드굽 통굽 여성 샌들힐
루디 아로마틱센트 바스폼 바디워시 샤워젤 (로즈)
FAX L380SK 캐논 슈퍼재생토너 검정
스마트폰 내시경카메라 Y101-01 1m C핀 5핀 USB타입
갤럭시A40 IS 투명 젤리케이스 A405
ETST-54 차량용 자석 마그네틱 스마트톡 - 명화3
이케아 FINSMAK 핀스마크 미니 양초 캔들 유리 홀더
이케아 GLASIG글라시그 미니양초홀더 유리5x5cm 5개입
우드케어 오일스테인 woodcare 10리터
유진 6000 GR 그레이 목문 방문손잡이 침실용
코카콜라 제로 업소용 1.25L 12PET
정준산업 때르메스 요술때장갑 비품
폴더절수샤워헤드(백색) 각도조절 샤워기 샤워헤드 조절 가능
라인프렌즈 디저트 돔형 65 투명우산(미니니 레니니)

그랜드스타렉스 번호판가드 현대모비스 자동차 번호판
칠성상회
우신 박스테이프 백색 노랑 파랑 빨강 컬러50M 50개
칠성상회

맨위로↑