저번에 개발 중인 서비스에 특정 기능을 넣고 Vercel에 배포했는데,
테스트하다 보니 유튜브에서 Vercel 쪽 IP를 차단했더라고요.
그래서 로컬에 유튜브 자막 추출하는 서버를 구축했습니다!
(구축과정은 나중에 정리해서 올려볼게요,, 쓸 힘이 남아 있다면요,,)
서버 시스템 구성도는 아래와 같아요,
[ 외부 사용자 / 백엔드 앱 ]
│
▼ (Public IP: 80, 443)
┌───────────────────────────────┐
│ 공유기 (Router) │ ◀── DDNS가 유동 IP를 도메인으로 연결
│ (Port Forwarding 설정: On) │
└───────────────┬───────────────┘
│
▼ (Internal IP: 80, 443)
[ 로컬 서버 (라즈베리파이) ]
- Nginx / Express 실행 중
[ Client (Web/App) ]
│
▼ (Public IP: 80, 443)
[ Router / Firewall (UFW) ] ──▶ [ Only 22, 80, 443 Open ]
│
▼ (Reverse Proxy)
[ Nginx (Web Server) ]
│
▼ (Local Port)
[ Express.js (API Server) ] ──▶ [ Managed by PM2 ]
│
├─▶ [ .env (API Keys) ]
└─▶ [ Discord Webhook (Alerts) ]
이번 서버는 Nginx, Express, pm2 조합으로 구축했고, 보안을 위해 나름대로 철저하게 대비했습니다.
현재 적용한 보안 설정:
- UFW (방화벽): SSH(22), HTTP(80), HTTPS(443) 포트만 최소한으로 개방
- 보안 계정 분리: Root가 아닌 제한된 권한의 계정을 생성하여 서버 프로세스 실행
- API-Key 도입 : 인증된 사용자만 접속할 수 있도록 api-key 사용
- 환경 변수 관리: API Key 등 민감 정보는 .env로 분리하여 관리
- 실시간 모니터링: 서버 에러나 이상 접근 감지를 위해 Discord Webhook 연동
"이 정도면 웬만해선 안 뚫리겠지?" 하는 마음으로 배포를 마치고 잠들었는데...
자고 일어나니 디스코드 알림이 쌓여 있더라고요.ㅋㅋㅋㅋㅋㅋ
포트 열어서 서버를 구축해 본 건 처음이라 이런 로그들을 실제로 보니 너무 신기했습니다.
봇들이 이렇게나 많다니, 대체 제 작고 소중한 서버에서 뭘 얻어 가려고 저렇게 찔러보는지 모르겠네요.
암튼 로그들을 좀 분석해 봤습니다!
보안쪽은 잘 몰라서, 제미나이와 함께 분석 했습니다.
사진의 path 보시면 됩니다. 접근 의도가 거기 써있어요.
1. Palo Alto Networks의 스캐너
Path : /
- 정체 : 글로벌 보안 기업인 Palo Alto Networks에서 운영하는 보안 스캐너(Cortex Xpanse)입니다.
- 설명 : 악의적인 해커는 아니지만, 전 세계 모든 공인 IP를 돌며 "이 IP는 현재 어떤 포트가 열려 있고, 어떤 서버(Nginx 등)를 쓰고 있는가?"를 수집합니다.
2. Cisco 장비 취약점 노리기
Path : /+CSCOL+/Java.jar, /+CSCOE+/logon_forms.js 등
- 정체 : Cisco Adaptive Security Appliance (ASA)나 AnyConnect VPN 장비의 취약점을 노리는 자동화된 공격 봇입니다.
- 설명 : /+CSCOE+/ 같은 경로는 Cisco 보안 장비에서 사용하는 특수한 경로입니다. 봇은 내 라즈베리파이가 Cisco 기업용 방화벽 장비일 수도 있다는 가정하에, 알려진 취약점(CVE-2020-3452 등)이 있는지 찔러보는 겁니다.
포트 열린 Cisco 보안서버를 찾는 모양이에요
참고로 cisco는 네트워크쪽에서 세계적으로 유명한 기업입니다.
자격증도 주관하고 있는데 시험 접수비만 몇백 했던 기억이ㅋㅋㅋㅋㅋ
3. Microsoft Exchange 서버 공격 (Autodiscover)
Path: /autodiscover/autodiscover.json?@zdi/Powershell
- 정체 : Microsoft Exchange(메일 서버)의 취약점인 ProxyShell이나 ProxyLogon을 노리는 매우 위험한 공격입니다.
- 설명 : 뒤에 붙은 Powershell 문구가 핵심입니다. 이 경로를 통해 서버 권한을 탈취하고 원격으로 명령어를 실행(RCE)하려고 시도하는 것입니다.
윈도우 서버 돌리고 있었으면 한순간에 털릴 수 있었다네요,, 왐마
4. 환경 변수 탈취 시도 (.env 시리즈)
Path: /.env, /.env-dev.env, /.env-ssl.log
- 정체 : 현대 웹 개발에서 가장 치명적인 설정 파일 탈취 공격입니다
- 설명 : .env 파일에는 DB 접속 정보, API Key, AWS 비밀 키 등이 들어있습니다.
env 털리면 제 통장 잔고도 털리는거죠,,
물론 저는 api key마다 상한선을 다 설정해 두긴 했지만 진짜 아찔하네요ㅋㅋㅋ
내 돈 지켜~~ 내 정보 지켜~~
5. 워드프레스 (WordPress) 취약점 스캔
Path: //wp-includes/wlwmanifest.xml, //xmlrpc.php?rsd
- 정체 : 전 세계 웹사이트의 40% 이상이 사용하는 워드프레스를 노리는 자동화 봇입니다.
- 분석 : wlwmanifest.xml은 윈도우 라이브 라이터와의 연동을 위한 파일인데, 봇은 이 파일이 존재하는지 확인하여 "아, 여기 워드프레스 쓰는구나!"라고 판단합니다.
워드 프레스 처음 들어봐서 찾아보니
전문 기술 없이도 누구나 웹사이트나 블로그를 쉽게 만들고 관리할 수 있게 해주는 오픈소스 콘텐츠 관리 시스템(CMS)
무차별 대입 공격(Brute Force)을 하기에 아주 좋은 통로라네요
다들 조심~
6. IoT 및 장비 관리 페이지 스캔
Path: /SDK/webLanguage
- 정체: 주로 Hikvision 같은 네트워크 카메라(CCTV)나 특정 스마트 장비의 SDK 경로를 노리는 스캔입니다.
- 설명: 이 경로는 특정 장비의 관리자 권한을 우회하거나 정보를 유출하는 취약점과 관련이 있습니다.
오우, 어설프게 IoT 서버 구축했다간 탈탈 털리겠네요.
7. 마이크로소프트 Outlook 공격 (OWA)
Path: /owa/auth/logon.aspx
- 정체: OWA(Outlook Web Access), 즉 기업용 메일 서버의 로그인 페이지를 노리는 공격입니다.
- 설명: owa/auth 경로는 기업에서 이메일 확인을 위해 사용하는 웹 페이지 주소입니다. 이 경로는 기업의 기밀이나 개인정보가 대량으로 오가는 곳이라 해커들의 0순위 타깃입니다.
이거 걸려서 정보 털리면, 그 사내메일 위장해서 링크 누르거나 파일 다운받게 하는 피싱방법. 거기에 이용될것 같은데요? 와우
아 그리고 구글에서 메일서버 POP 기능을 1월부터 중지했는데 연관이 있나 싶네요.
참고로 봇들은 30분에 한번 찌르거나, 1분에 5번찌르기도 합니다.
서버에 부담갈 정도는 전혀 아닙니다.
다들 보안설정 빡세게 하시고, api-key 잘 도입하고, 잘 숨겨두길 바랍니다.
쟤네가 접속 성공하면 어떤짓 할지 너무 궁금한데
그런 환경 만들고 봇 기다리는걸 허니팟(Honey Pot) 이라고 하더라고요.
최근에 어떤 기업에서 허니팟 만들어 놨는데 허니팟에 관리자 계정 정보 놔둬서 해킹됐다는 기사를 본것 같은데ㅋㅋㅋㅋ 아래 기사였네용
해커 유인 ‘허니팟’이 독 됐나? 연결된 SK쉴더스 직원 이메일 털려 KISA 신고
나중에 공부 더 많이 하고, 여력이 생기면 허니팟도 한번 해보고 싶어요
로그를 분석하며 제 라즈베리파이가 얼마나 험난한 곳에 있는지 알게 되었습니다.
그래서 저는 이제 포트 포워딩을 다 닫고, IP를 노출하지 않는 방법을 사용하려 합니다.
레츠기릿
