devflow.kr@:~#

무작위? 지정? IP를 통한 ZmEu의 취약점 공격

HTML/CSS

제 서버에 어느날 아래와 같은 에러로그가 발생했었습니다.

w00tw00t.at.blackhats.romanian.anti-sec:)" failed (2: 지정된 파일을 찾을 수 없습니다), client: 208.109.xxx.xxxx, server: -, request: "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1"


확인해보니 해당 아이피로, 각종 폴더 파일이 존재하는지 확인했습니다.


phpmyadmin 버전별 폴더, web, sql 등등 여러 패턴으로 취약점을 찾습니다.


바로 ZmEu라는 서버 스캐닝 툴입니다.


제한하는 방법은 많이 알려진방법으로 IP를 차단 후, 다른 php로 redirect.

두번째로는 rewrite url기능을 사용해, phpmyadmin의 접근을 제한하거나, 외부에서 필요한 폴더.파일만 허용하기

또, ZmEu라는 User-Agent로 공격을 시도하기 때문에, zmeu를 탐지하여 제한하시면 됩니다.



참고하면 좋을 사이트 : http://linux.m2osw.com/zmeu-attack

저작자 표시 비영리 동일 조건 변경 허락
신고

티스토리 툴바