워드프레스 404 log 관찰 기록

이번에 회사에서 404로그를 볼일이 있었는데, 그러다보니 내 홈페이지의 404 로그도 궁금했다. 그래서 관찰 해봤다.
404 로그가 error_log 에 있을거라고 생각했는데 access_log 에 있더라.

1. 해커들의 접근기록

 18.85.22.239 "GET /phpmyadmin/index.php HTTP/1.1" 404 580 "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36"
18.85.22.239 "GET /pma/index.php HTTP/1.1" 404 580 "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36"
18.85.22.239 "GET /phpMyAdmin/index.php HTTP/1.1" 404 580 "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36"
179.43.134.157 "GET /myadmin/index.php HTTP/1.1" 404 580 "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36"
176.10.99.200 "GET /dbadmin/index.php HTTP/1.1" 404 580 "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36"

이게 WordPress 이니까 phpMyAdmin 쓸줄 알고 쓸만한 URL을 한번씩 때려봐주고 가심 (나는 phpMyAdmin 안씀).
첫번째 아이피는 미국 MIT 대학교라고 나오고, 두번째는 스위스 인데 Tor Exit Relay 라고 나옴. Tor라면 아이피 추적하지 말라는 ㅎㅎ

27.34.50.192 "GET /.git/HEAD HTTP/1.1" 404 19293 "Python-urllib/3.6"
27.34.50.192 "GET /.git/HEAD HTTP/1.1" 404 19293 "Python-urllib/3.6"

.git/HEAD를 때리면 웹서버에 바로 노출되게 한 애들이 많은가.. 일단 아이피는 네팔이라고 나옴.

148.251.92.124 "GET /wp/wp-admin/setup-config.php HTTP/1.1" 404 178 "Python-urllib/2.7"
148.251.92.124 "GET /backup/wp-admin/setup-config.php HTTP/1.1" 404 178 "Python-urllib/2.7"
148.251.92.124 "GET /wordpress/wp-admin/setup-config.php HTTP/1.1" 404 178 "Python-urllib/2.7"
148.251.92.124 "GET /blog/wp-admin/setup-config.php HTTP/1.1" 404 178 "Python-urllib/2.7"
148.251.92.124 "GET /new/wp-admin/setup-config.php HTTP/1.1" 404 178 "Python-urllib/2.7"
148.251.92.124 "GET /old/wp-admin/setup-config.php HTTP/1.1" 404 178 "Python-urllib/2.7"
148.251.92.124 "GET /demo/wp-admin/setup-config.php HTTP/1.1" 404 178 "Python-urllib/2.7"
148.251.92.124 "GET /test/wp-admin/setup-config.php HTTP/1.1" 404 178 "Python-urllib/2.7"

이게 없으면 이상하지 wp-admin 을 열심히 찾고있는 놈들. 아이피는 네덜란드라고 나오네

2. 이제는 안쓰는 플러그인들

66.249.79.138 "GET /wp-content/plugins/jetpack/modules/wpgroho.js?ver=4.9.2 HTTP/1.1" 404 6484 "http://earlybird.kr/260" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Googlebot/2.1; +http://www.google.com/bot.html) Safari/537.36"
66.249.79.140 "GET /wp-content/plugins/pc-google-analytics/assets/css/frontend.css?ver=1.0.0 HTTP/1.1" 404 6484 "http://earlybird.kr/1892?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+thez+%28tebica+story-thez%29" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Googlebot/2.1; +http://www.google.com/bot.html) Safari/537.36"
66.249.71.112 "GET /wp-content/plugins/jetpack/_inc/build/related-posts/related-posts.min.js?ver=20150408 HTTP/1.1" 404 6484 "http://earlybird.kr/1892?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+thez+%28tebica+story-thez%29" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Googlebot/2.1; +http://www.google.com/bot.html) Safari/537.36"
66.249.71.17 "GET /wp-content/plugins/jetpack/_inc/build/photon/photon.min.js?ver=20130122 HTTP/1.1" 404 6484 "http://earlybird.kr/1892?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+thez+%28tebica+story-thez%29" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Googlebot/2.1; +http://www.google.com/bot.html) Safari/537.36

이제는 Jetpack을 지워서 더이상은 쓰지 않는다. 그런데 Google bot 이 저런 jetpack javascript 를 찾는일이 종종 있네. 원인은 모르겠다

203.133.168.210 "GET /1965/amp HTTP/1.1" 404 6484 "Mozilla/5.0 (Unknown; Linux x86_64) AppleWebKit/538.1 (KHTML, like Gecko) Safari/538.1 Daum/4.1"

이제는 amp 플러그인도 지워서 쓰지 않는다. Daum 봇으로 보이는 놈이 아직도 amp를 읽으려고 한다. Google 정보면 리다이렉트 해줄수도 있지만… Daum이라 귀찮…

3. 이해 안가는 놈들

120.76.132.64  "GET /?author=2 HTTP/1.1" 404 6484 "Apache-HttpClient/4.5.2 (Java/1.8.0_191)"
120.76.132.64  "GET /?author=3 HTTP/1.1" 404 6484 "Apache-HttpClient/4.5.2 (Java/1.8.0_191)"
120.76.132.64  "GET /?author=4 HTTP/1.1" 404 6484 "Apache-HttpClient/4.5.2 (Java/1.8.0_191)"
120.76.132.64  "GET /?author=5 HTTP/1.1" 404 6484 "Apache-HttpClient/4.5.2 (Java/1.8.0_191)"
120.76.132.64  "GET /?author=6 HTTP/1.1" 404 6484 "Apache-HttpClient/4.5.2 (Java/1.8.0_191)"
...

WordPress 에서 author 별로 글을 볼 수 있는데, 1번 author ~ 15번 까지 조회한다. 왜일까? 잘 이해가 가지 않는다..
아이피는 중국 아이피라고 나온다. 그리고 크롤링을 하려면 user-agent 좀 가짜로 입력좀 해주지 않으련?

203.133.168.210 "GET /tag/javascript/feed HTTP/1.1" 200 4041 "Mozilla/5.0 (Unknown; Linux x86_64) AppleWebKit/538.1 (KHTML, like Gecko) Safari/538.1 Daum/4.1"

Daum bot 아.. 저 그런 URL은 어디서 났니?


  1. 남창우 Avatar

    오 엑세스 로그 뚫어져라 보셨군요. 별의별 놈들이 별의별 조합으로 스크립트를 돌리죠. 특히 admin-ajax.php 쪽 무작위 대입도 많습니다.

    구형 테마나 플러그인, 그리고 구형 코어의 취약점이 발견되면 그걸 갖고 집요하게 돌려봅니다. 되든 안되든 마구잡이로 찔러보죠.

Leave a Reply to 남창우 Cancel reply

Your email address will not be published. Required fields are marked *