병원 홈페이지 POST 요청이 갑자기 늘었는데, 정작 확인해야 할 건 따로 있었다
본 글은 정보 제공 목적이며, 광고/제휴 링크가 포함될 수 있습니다.
제가 운영하는 [병원] 홈페이지 서버 로그를 점검하다가, 평소보다 POST 요청이 2~3배 늘어난 날을 발견했습니다. 처음엔 예약 문의가 갑자기 몰렸나 싶었는데, 실제 로그를 뜯어보니 전혀 달랐습니다.
wp-login.php만 보면 놓치는 경로가 있습니다
공격용 자동화 도구는 wp-login.php 외에 /xmlrpc.php와 /wp-admin/admin-ajax.php를 함께 두드립니다. 아래 명령으로 이 세 경로의 POST 요청을 한 번에 집계해 보세요.
grep "POST" /var/log/nginx/access.log \
| grep "xmlrpc\|admin-ajax\|wp-login" \
| awk '{print $1}' | sort | uniq -c | sort -rn
동일 [외부IP]가 짧은 시간 안에 세 경로를 순차 요청하고 있다면 자동화 스캔으로 봐도 됩니다.
파일 변경 시간을 반드시 함께 확인하세요
POST 요청이 급증한 날짜를 메모해두고, 그 시간대 전후로 새로 생성된 PHP 파일이 없는지 확인합니다.
find /var/www/[서버도메인] -name "*.php" \
-newer /var/www/[서버도메인]/index.php -type f
uploads 폴더 안에 낯선 .php 파일이 있으면 즉시 격리하세요. 이름이 평범해 보여도 내용이 base64로 인코딩된 웹셸인 경우가 있습니다.
fail2ban 차단 목록과 대조하기
fail2ban이 설정되어 있다면 차단 목록에 있는 IP가 로그에도 반복 등장하는지 대조해 보세요. 동일 대역에서 연속 접근이 확인되면 해당 대역 전체를 추가 차단하는 게 효과적입니다.
fail2ban-client status nginx-http-auth
☐ access.log에서 POST 요청 급증 시간대 확인 ☐ /xmlrpc.php, /admin-ajax.php 요청 빈도 점검 ☐ uploads 폴더 내 최근 생성 PHP 파일 확인 ☐ 동일 IP가 여러 경로에 반복 접근하는지 대조 ☐ fail2ban 차단 목록과 접근 로그 교차 확인 ☐ 의심 IP를 .htaccess 또는 방화벽에 즉시 차단 ☐ 정상 예약·문의 URL과 공격성 요청 패턴 분리 기준 정리
처음엔 단순한 트래픽 증가라고 생각했는데, 로그를 하나씩 뜯어보니 완전히 다른 그림이 보였습니다. 비슷한 경험이 있으신 분, 또는 점검 중 헷갈리셨던 부분 있으시면 댓글로 알려주세요!