안녕하세요.
2024.10.06 어제 워드프레스 블로그를 개설했는데,
벌써부터 무차별 대입 공격이 일어났네요 ㅎㅎ
그것과 별개로 서버도 한번 다운되긴 했는데…(syslog 확인해보니 aws인증 문제인것 같기도…)
아무튼 공격을 받았으니 확인을 해봐야겠죠?
저같은 경우는 HAProxy를 워드프레스 앞에 두고 있어서 HAProxy가 방화벽 역할을 하고 있습니다.
공격 원인
그런데 왜 무차별 로그인 시도가 일어났는가 확인해보니…
https://www.chattiboy.com/wp-admin은 차단해놓았는데,
https://www.chattiboy.com/wp-login.php는 열려있더라구요..이게 있는줄 공격당하고 오늘 알았습니다 ㅎㅎ
접근 금지 정책 설정
원인을 알았으니 차단해야겠죠??
HAProxy의 간단한 설정으로 차단 할수 있습니다.
(리다이렉트도 가능합니다~)
frontend haproxy.front
mode http
bind :80
bind :443 ssl crt /home/chattiboy/ssl-list
redirect scheme https code 301 if !{ ssl_fc }
# 블랙리스트에 정의된 아이피 모두 차단.
acl blacklist src -f /etc/haproxy/blacklist_addrs.list
http-request deny if blacklist
# 허용된 아이피대역 외 모두 차단.
# /admin/로 시작하는 모든 경로가 차단
http-request deny if { path -i -m beg /admin/ } !{ src 192.168.0.0/24 }
http-request deny if { path -i -m sub /wp-admin } !{ src 192.168.0.0/24 }
# /wp-login/로 시작하는 모든 경로를 포괄적으로 차단
http-request deny if { path -i -m sub /wp-login } !{ src 192.168.0.0/24 }특정 ip대역에서만 접근 가능하도록 설정하고 그외 나머지는 접근할 수 없도록 막아버립니다.
Nginx를 사용한다면 Nginx 설정에서도 위와 유사하게 차단 정책을 넣을수 있겠죠?
차단도 되지만 당연히 리다이렉트도 설정이 가능합니다.
짧고 간단하게 HAProxy를 이용한 url subpath 차단 정책에 대해 알아 보았습니다.