c3.xlarge 인스턴스 한개를 돌리고 있습니다. 평소 $340 정도 청구가 되고요….

c3.xlarge 인스턴스 한개를 돌리고 있습니다. 평소 $340 정도 청구가 되고요. 지난달에 중국 해커에게 공격을 받아서 서버가 좀비 PC가 되었습니다. 트래픽이 수천 테라바이트가 되면서 지난달에 $3000 가 넘는 금액이 청구가 됬네요.
ㅠ_ㅠ

혹시 중국쪽 IP를 쉽게 차단할 수 있는 방법이 있나요? 서버에서 iptable 로 설정을 해야 하는건지, 아니면 Security group 이나 다른 옵션으로 쉽게 설정 가능한 방법이 있는지 궁금합니다.

저도 전문 서버 프로그래머가 아니라서 힘드네요. 보통 이런 경우를 대비해서 설정을 어떻게 하고 계시는지 노하우가 있으면 좀 알려주시면 감사드리겠습니다. ㅠ_ㅠ

21 thoughts on “c3.xlarge 인스턴스 한개를 돌리고 있습니다. 평소 $340 정도 청구가 되고요….

  1. 시큐리티옵션에서 아이피 범위 차단할 수도 있구요 우선 빌링이 얼마이상 되면 알람이 오게 설정하시고 항상 모니터링 하셔야 해요. 운영체제단에서 막을 수도 있어요 근데 요샌 쭝국 애들이 울나라 VPN타고 들어와서..ㅠㅠ

  2. 저는 얼마전에 테스트 서버 하나 날려 먹었어요. 감염된 것같다는 경고 메일 몇번 받고. 그냥 지워버렸죠. 다른 분들이 얼마전 페북 ES 그룹에 올려 놓은 것 대로 설정을 했는데 아무래도 kibana가 걱정이죠. client에서 요청이 들어가는데 어떻게 막는지…

  3. 오픈 되어 있으신 port가 서비스 port라면 fail2ban 같은 툴에 도움을 받아보시는 것도 좋지 않을까 생각 됩니다. 동일 IP에서 초당 동일한 패턴의 공격이 들어오면 일정시간 동안 iptables에 해당ip를 drop 시킬수 있습니다.

  4. 추가로 billing 알림을 사용하시는 것도 도움이 되리라고 생각 됩니다. 일정금액 이상의 요금이 과금되면 알림을 받을 수 있는 서비스 입니다.

  5. JaeBeom Cho 감사합니다. 그리고 지금 inbound 는 서비스 하는 포트만 열어놓은 상태이고 outbound 는 전체 열려있습니다. 알림 메일에는 36743 포트를 통해 데이터가 나갔다고 되어 있는데, 혹시 outbound 를 49151 – 65535 만 열어놓는다거나 하는게 도움이 될까요?

  6. AWS는 하드웨어 파이어월 로그의 참조가 불가능 하므로 소프트 파이어월을 통해 억세스 로그를 수집해야만 공격에 대한 실체파악이 가능해 집니다.

  7. 네. 일단 기존 서버는 terminate 해야 할 것 같고요, 아무래도 해커가 인증서까지 빼내간것이 아닌가 하는 의심까지 드네요. 새로 설치 할 때는 보안쪽에 더 세세하게 신경 써서 해야 할 것 같습니다. AWS 너무 쉽게 생각하고 있었던 것 같습니다. 크흑.

  8. DoHyun Jong 님의 의견에 추가로 드리면 Fail2ban을 사용하더라도 들어오는 패킷에 대한 로그에 의해서 차단을 하니 ELB로 받으실 때Header에 X-Forward 없이 받으신다면 서버측에서는 ELB IP가 찍히게 되어 접근 하는 IP를 알수 없습니다.

  9. 저도 AWS 에 메일은 보내놓았는데, 우리가 원한게 아니라 해킹 때문에 그런거라고. 대인배스러운 답변이 올지 어떨지 모르겠습니다.

  10. 흠. 저희는 이런 고객 해킹시에 대부분 요금감면해주는데 aws는 어떨런지 모르겠네요. ; 저희도 이런부분때문에 고객하고 논쟁하기 힘들더군요.

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.