[보안 중요!] "/*àCookie: mstshash=Administr" HTTPStatus.BAD_REQUEST -누구냐 넌!!!!!

서버에서 5000포트를 열어두고 Flask로 API 개발을 하면서  로그를 확인하던 중

193.169.252.54 - - [19/Jan/2021 06:53:15] code 400, message Bad HTTP/0.9 request type ('\x03\x00\x00/*à\x00\x00\x00\x00\x00Cookie:')
193.169.252.54 - - [19/Jan/2021 06:53:15] "/*àCookie: mstshash=Administr" HTTPStatus.BAD_REQUEST -
193.169.252.54 - - [19/Jan/2021 06:53:16] code 400, message Bad HTTP/0.9 request type ('\x03\x00\x00/*à\x00\x00\x00\x00\x00Cookie:')
193.169.252.54 - - [19/Jan/2021 06:53:16] "/*àCookie: mstshash=Administr" HTTPStatus.BAD_REQUEST -
193.32.164.26 - - [19/Jan/2021 07:52:43] code 400, message Bad HTTP/0.9 request type ('\x03\x00\x00/*à\x00\x00\x00\x00\x00Cookie:')
193.32.164.26 - - [19/Jan/2021 07:52:43] "/*àCookie: mstshash=Administr" HTTPStatus.BAD_REQUEST -
193.32.164.26 - - [19/Jan/2021 07:52:44] code 400, message Bad HTTP/0.9 request type ('\x03\x00\x00/*à\x00\x00\x00\x00\x00Cookie:')
193.32.164.26 - - [19/Jan/2021 07:52:44] "/*àCookie: mstshash=Administr" HTTPStatus.BAD_REQUEST -

위와 같은 로그가 계속 나오길래 처음에는 아 뭔가 서버에 문제가 있나보다 싶었습니다.

 

그런데 처음에는 빈도수가 한 두번이었다면 시간이 갈수록 로그가 남는 빈도수가 점점 높아져 우리의 친구 구글에게

 

물어보았습니다.

 

도와줘 구글!

mstshash=administr explained · Issue #221 · olipo186/Git-Auto-Deploy

검색해서 나온 글 중 가장 첫번째 분의 글을 보니 저와 비슷한 증상이었습니다.

 

읽어보니 외부에서 누군가가 계속 공격을 시도한 것이었습니다.

 

또 다른 글에서 공격한 ip가 어디서 공격한 ip인지 알아볼 수 있는 사이트가 있다고 하여 로그에 있는 ip를 검색해보았습니다.

193.169.252.54 | Agata Grabowska Trading as FUFO Studio | AbuseIPDB

 

제 로그에 있던 아래의 두 ip를 검색해 보았습니다.

193.32.164.26
193.169.252.54

193.32.164.26는러시아 193.169.252.54는 폴란드 였습니다.

 

Elasticsearch 보안 관련 주의 사항!

지난 Elasticsearch read_me 사건이 떠올라 바로 5000번 포트는 필요한 곳에서만 접근이 가능하도록 변경하였습니다.

 

이와 비슷한 경험들이 곳곳에 적혀있는것 같았습니다.

서버 털릴뻔했습니다. - Study For Us

프린터가 지 맘대로 프린트를 하네요. - Study For Us

앞으로 이런 보안에 관련된 부분에 대해서 더 경각심을 가지게 되는 계기가 된 것 같습니다.

 

다들 보안 잘 신경써서 피해를 예방하시기 바랍니다~

 

읽어주셔서 감사합니다.