반달
이 아이피는 반달러의 영구박제용 IP이며, 러시아에서 봇을 이용한 광고 삽입형 공격중 하나로 분석되었으며, 웹서버는 2.2.15 서버임을 짐작할수 있다. 그리고 센트OS까지.
목차 |
개요
2022년 1월 28일 내 위키메모공간에 대규모의 반달러가 있었다. 분석하는 과정과 iptables 에서 차단하는 방법을 서술하고자 한다.
분석
- 위키 광고삽입형 반달러 아이피 대역임.
188.143.232.14
5.188.211.10
5.188.211.13
5.188.211.15
5.188.211.16
5.188.211.22
5.188.211.26
5.188.211.35
5.188.211.72
아이피를 구글에게 물어 봄.
다른 한 사이트에서 훌륭하게 보고하여, 추가 분석한 반달러 IP내역은 다음과 같다.
188.143.232.14
188.143.232.15
188.143.232.35
188.143.232.62
188.143.232.70
31.184.238.103
5.188.211.10
5.188.211.13
5.188.211.15
5.188.211.16
5.188.211.21
5.188.211.22
5.188.211.24
5.188.211.26
5.188.211.35
5.188.211.37
5.188.44.47
5.188.45.160
5.188.84.120
5.188.84.245
5.188.84.76
줄이고 줄여
188.143.232.14
188.143.232.15
188.143.232.35
188.143.232.62
188.143.232.70
31.184.238.103
5.188.211.10
5.188.211.13
5.188.211.15
5.188.211.16
5.188.211.21
5.188.211.22
5.188.211.24
5.188.211.26
5.188.211.35
5.188.211.37
5.188.211.72
5.188.44.47
5.188.45.160
5.188.84.120
5.188.84.245
5.188.84.76
각 아이피 정리해보자.
5.188.44.x = 5.188.44.0/24
5.188.45.x = 5.188.45.0/24
5.188.84.x = 5.188.84.0/24
5.188.211.x = 5.188.211.0/24
31.184.238.x = 31.184.238.0/23
188.143.232.x = 188.143.232.0/24
이러한 대역을 막으면 된다.
iptables 에서 설정
$ iptables -A INPUT -s 5.188.44.0/24 -j DROP
$ iptables -A INPUT -s 5.188.45.0/24 -j DROP
$ iptables -A INPUT -s 5.188.84.0/24 -j DROP
$ iptables -A INPUT -s 5.188.211.0/24 -j DROP
$ iptables -A INPUT -s 31.184.238.0/23 -j DROP
$ iptables -A INPUT -s 188.143.232.0/24 -j DROP
끝
전부 러시아IP다...ㅋ
