메뉴 건너뛰기

유용한 팁

phiz 2016.11.21 00:48
조회 수 : 646

XE는 다른 오픈소스 cms와 마찬가지로 spam에 대처하기가 쉽지 않습니다.

대처하기가 쉽지 않다고 말하는 이유는, 
스팸이 등록되지 않도록 하기위해 쓰기 권한을 로그인사용자 이상으로 설정하거나 강력한 캡차를 사용하면 대부분 막을 수 있으나 폭주하는 스팸ip를 막을 수 없다는 것입니다. 

이 스팸 ip 수천개가 하루에 수만, 수십만번 접속을 해오면 정상적인 사이트 운영이 어렵기 때문입니다.

xe로 사이트를 운영시 디도스때문에 어려움을 토로하는 경우가 있는데, 만일 일년 내내 디도스공격을 받고 있다면 스팸 공격을 받고 있다고 판단하는 것이 합리적입니다.

 

구글 문서를 보면 스팸방지 도구를 2가지를 추천하고 있습니다.

https://support.google.com/webmasters/answer/81749?hl=ko

 

하나는 구글 reCAPTCHA, 그리고 다른 하나는 Project Honeypot 

reCAPTCHA는 대부분 아실테고

Project Honeypot 는 일전에 사이트만 소개한 적있습니다.

https://phiz.kr/usefulSite/6700

 

reCAPTCHA는 https://www.xetown.com/xepoint/22689 를 적용하면 되고

Project Honeypot의 http:BL은 API를 적용하는 문서가 있으나 XE용으로는 개발된 것이 없으므로 

현재로선 ModSecurity에서 적용시키는 것이 가장 쉬운 방법입니다.

아카마이나 클라우드플레어 등 많은 서비스업체들이 ModSecurity와 http:BL을 제공하는 것으로 알고 있습니다.

이런 업체에서 디도스관련 서비스나 스팸차단 서비스는 대부분 ModSecurity 의 자체 룰을 개발하여 사용하는 것으로 생각됩니다.

 

ModSecurity의 Rules는 상용 룰도 있지만 무료 공개룰은 OWASP ModSecurity Core Rule Set 이 있습니다. 

이번에 OWASP ModSecurity Core Rule 3.0 이 발표되었습니다.

3.0의 특징은 오탐을 최소화하기 위해 적용레벨을 선택할 수 있도록 구조적인 개념이 많이 바뀌었습니다.

 

그리고 ModSecurity는 원래 Apache의 모듈입니다.

Apache에서는 바로 적용할 수 있는데

nginx나 IIS에서는 별도의 인스톨과정을 거쳐야 했었습니다.

 

ModSecurity 3.0부터는 독립된 라이브러리로 개발됩니다.

현재 rc버전이지만 조만간 정식버전이 나올것으로 기대하고 있고

상용버전인 nginx plus에서는 이미 ModSecurity 3.0 nginx 모듈과 crs를 제공하고 있습니다.

 

필자의 사이트는 전통적으로 사용자공간은 회원가입없이 글쓰기등을 할 수 있도록 유지하고 있습니다.

지금은 사이트 자료가 전부 유실되어 찾아오는 사람이 별로 없지만 예전에는 "XE 왕초보를 위한 사용자 메뉴얼" 등 상당히 많은 분들이 참고하던 사이트였습니다.

 

필자는 프로그램레벨의 방어보다는 서버레벨에서의 방어를 선호하기 때문에 캡차, 스팸방어 애드온 등은 사용하지 않고 상당히 오래전부터 ModSecurity를 사용하고 있습니다.

 

XE에서 스팸봇의 일부는 상당히 지능형으로 진화해 있습니다.

그동안 스팸회원가입이나 스팸글이 전혀 없었는데, 최근 몇달전부터 간혹(2~3주에 두세건 정도) 스팸회원과 스팸댓글이 등록되더군요. 새로운 룰을 적용해서 스팸댓글은 막았는데, 스팸회원은 새로운 룰 적용 후 모니터링 중입니다.

XE나 ModSecurity에서 스팸봇에 뚫린다해도 Project Honeypot이 적용되어 있다면 무차별적으로 스팸이 등록되는 것은 막을 수 있습니다.(많아야 한달에 서너건으로 방어할 수 있습니다.)

스팸봇 ip는 계속 바뀌기 때문에 블랙리스트에 등록되기 전에 스팸봇이 사이트에 방문한다면 그때 등록됩니다.
만일 스팸이 등록된다면 패턴을 찾아 새로운 룰을 적용하면되는데, 최근 회원가입 스팸은 패턴이 없더군요.

맨처음에는 실제 사람이 등록한 것아닌가 착각할 정도였습니다. 그정도로 상당히 지능화되어 있습니다.

 

필자가 스팸봇에 관심을 많이 갖는 것에는 이유가 있습니다.
단순히 스팸이 등록되지 않게 하는 것 만으로는 해결이 되지 않기 때문입니다.

일단 스팸봇의 타겟이 되면 스팸이 등록되지 않는다하여도 사이트 운영이 어려울 정도로 디도스를 능가하는 스팸봇의 공격을 받습니다. 필자는 2번 그런 경험이 있습니다.

제 추측으로는 많은 사이트들이 트래픽, 사이트 속도저하, 디도스 등으로 클라우드플레어를 선호하게 되는 원인이 스팸봇에 있다고 생각합니다.