공격자들이 새로 발급된 인증서를 감시하여 목표를 찾는다는 점이 흥미롭다. Let's Encrypt에서 인증서를 받은 후 몇 시간 안에 서버에 수백 건의 접속 시도가 발생했다. 새로운 서버는 인터넷에 노출되기 전에 가능한 빨리 보안을 강화해야 한다는 교훈이 있다.
과거에는 자체 호스팅 사이트를 관리하면서 접근 로그를 검토했고, IDS를 사용하여 공격 시도를 플래그했다. 하지만 로그 검토와 IDS 비용 지불을 중단했다. 대신 일반적인 취약점과 공격을 요약한 유용한 콘텐츠를 찾아 서버 관리에 활용하고, 빠른 패치 주기를 우선시하는 것이 좋다. 로그는 문제 발생 후 진단에 매우 유용하다.
저자는 보안 전문가가 아니라고 밝히면서, 기사의 첫 예시가 디렉토리 순회가 아니라 자격 증명 및 구성 발견이라고 지적한다. 디렉토리 순회는 공격자가 웹 루트를 벗어나거나 서버가 정상적인 디렉토리 외부의 것을 제공하도록 하는 기술을 의미한다.
서버에서 fail2ban을 실행하고, 사이트에 제공하는 기능에 특화된 공격을 잡기 위해 맞춤형 감옥을 추가하는 것이 중요하다. fail2ban의 기본 설정이 여전히 효과적인지 확인해야 할 시간이다.
많은 공격이 적대적인 국가로부터 온다는 것이 문제다. 논란의 여지가 있지만, 거래할 수 없는 국가들의 IP 범위를 차단하는 것이 유용할 수 있다. 이 방법으로 새로운 서비스에 대한 모든 탐색을 차단할 수 있었다.
약 1년 동안 자체 설계한 HTTP/S 서버를 운영하면서, 열려 있는 포트(22, 80, 443)에서 많은 공격자 트래픽을 받았지만, 공격자들이 실제로 무엇을 시도하는지 분석할 시간은 없었다. 이 글은 많은 정보를 제공한다.
AWS에서 이러한 로그를 받고 있다면, AWS WAF를 VPC 앞에 배치하여 자신을 도울 것을 권한다. 비용이 많이 들지 않으면서 많은 문제를 예방할 수 있다.
여러 해 동안 다양한 기업의 WAF를 관리해온 경험을 바탕으로, Cloudflare로 DNS를 옮기고 몇 가지 WAF 규칙을 사이트에 적용하는 것이 문제를 해결하는 데 도움이 될 것이라고 조언한다. WAF는 만병통치약이 아니므로 애플리케이션이 공격에 대비해 강화되어야 한다.
관리하는 웹호스트에서 가장 흔한 공격 시도는 WordPress와 관련된 것이지만, 저자는 이를 언급하지 않았다. 아마도 저자는 WordPress 콘텐츠를 호스팅하고 있어서 정상 트래픽과 공격을 구분하지 못했을 수 있다.
'디렉토리 순회'라는 용어 대신 '디렉토리 열거'가 올바른 표현이다. 순회는 일반적으로 '.. / .. /'와 같은 경로를 사용하여 웹 루트를 벗어나는 것을 의미한다.
Hacker News 의견