위협 IP - OSINT 구글 검색 결과 검토 (Suspicious ip 80.67.5.130)

 

위협 IP - OSINT 구글 검색 결과 검토 (Suspicious ip 80.67.5.130)

 

 

위협 IP 포스팅을 쓰는 이유

 

* 무슨 무슨 이유로 테스트 글로 작성되었습니다. 별 내용은 없습니다.

 

이전 포스팅에서 내 개발 서버를 공격하는 IP를 막는 방법에 대해서 포스팅을 한 적이 있다. 화이트 해커가 아니라도 일반적인 IT 회사 사람이라면 다 알만한 수준이라 크게 자랑할 거리도 아니다. 이번 포스팅은 포스팅 내 위협 IP가 등록이 되어있다면 게시글이 차단이 되는지 아니면 구글 검색을 할 수 있는지 테스트하기 위함이라고 보시면 된다.

 * 참고 링크: 윈도우 RDP 원격 데스트톱 mstsc 해외 IP 차단하기 (로그인 시도 로그 윈도우 방화벽)

 

제목에도 넣어두고 본문에도 다수 포함이 될 예정이지만, 보통은 검색이 될 것 같다는 느낌이 있다. 테스트를 하기 위해서는 왜 이걸 해야하는지 알아야한다. 구글에서 내 서버를 제일 많이 공격했던 IP를 하나 타게팅 한 후에 제공을 해볼 생각이다.

 

아래처럼 ip 검색 시 ipinfo나 whoismind 등 일반적으로 IP를 제공하는 업체만 뜨지 위협 IP로 분류해주는 CTI 업체의 사이트는 뜨지 않는다. 그들 또한 정보가 많을텐데 뜨지 않는 경우가 이상한 생각에 집적 해보기로 했다. 그게 오늘 포스팅을 쓰는 이유이기도 하다. 물론 SEO 관련한 내용은 지켜서 써야하기 때문에 내용은 조금 길 수 있다고 본다.

 

공격자 IP는 확실합니다.

 

 

 

sitemap 또는 rss 등록하기

 

티스토리 하시는 분들은 대부분 포스팅 후 구글 서치에 등록을 하거나 아니면 sitemap을 등록하여 사용하고 있다. 결국 URL이 구글 크롤러 레이더에 올라가기만 하면 무조건 검색이 된다고 보면 된다. 지금 이 포스팅도 그렇게 사용하고 있고. 상기 주소들은 대부분 상세 IP 대역이 아닌 24를 통합하여 사용한다. 80.67.5.130이 아닌 80.67.5.0/24 로 제공을 하고 있다고 보면 된다. range로 제공을 하기에 뜨는 것일까?

 

가장 유명한 abuseipdb 기준으로 보면 구글에 검색이 되는데 내가 검색한 IP가 위협이 아니라는 이유로 결과를 표시해주지 않기 때문에 검색이 안될 뿐이다. 분석한 사례로 봤을때 저 IP는 분명 내 PC를 브루트 포스(brute force) 공격을 진행하고 있고 내가 공격으로 판단했으니 공격인셈이다. 저들이 잘 몰라볼 뿐.

 

abuseipdb에도 80.67.5.130에 대한 IP의 정보가 없는 것은 아니지만 구글 검색은 되지 않을 뿐인 것이다. 왜 이들은 IP를 제공하지 않는 것일까? 몇 까지 이유가 있겠지만 'abuseipdb'의 url 경로가 ip라서 너무 많을 수 있다는 것이 내 생각이기는 하다. 'abuseipdb.com/check/80.66.5.130' 과연 이 모든 것을 rss나 sitemap에 등록하는데 시간이 얼마나 걸리까 싶다. 

 

shodan도 마찬가지로 결과값은 있지만 구글에 검색이 되지는 않는다. 바이러스 토탈이나 쇼단, 그리고 abuseip등 유명한 몇 가지의 ip나 hash는 존재하지만 전체를 구글에 띄우는데는 큰 어려움이 있어보인다.

 

쇼단와 Abuseip DB의 내부 데이터, 하지만 검색은 되지 않는다.

 

 

엄청 유명한 IP들은 당연히 구글 검색에 뜬다. abuseipdb 기준으로 위험도 스코어 100 또는 쇼단에서도 위험도 높은 친구들은 구글 검색이 또 된다. 선택적으로 공개가 된다는 의미인데, 그러면 과연 어떤 방식으로 이끌어나가야할지 고민이 많다. 분명 sitemap이나 rss는 분명 많은 양을 처리하는데 한계가 있다.

 

static한 페이지로 IP를 보여줄 수 있는 방법이 없을까? 사실상 불가능하긴 하지만 우리도 이전 기업들처럼 IP 풀을 전체 말고 ip/24로 표현해주거나 혹은 일간 리포트 형식으로 게시판을 외부에 공개하고 주요 IP들을 적어두는 것도 좋아보인다. 하지만 요즘 AI니 자동화니 말이 많은데, 과연 그게 사람이 해야하는가도 문제이다.

 

이번 포스팅을 통해서 '80.67.5.130' 해당 IP의 검색이 된다면, sitemap에 다양한 위협 정보를 얻을 수 있는 방법을 좀 모색해봐야하지 않을까. 참, 게임 블로그에 테스트해본다고 이것저것 써보는 것도 웃기긴 하지만 내가 가지고 있는 플랫폼 중 여기가 제일 활발하니 한 번 믿어보도록 하자. 구글 서치 등록하고 한 2시간이면 볼 수 있으니 기술검토 자료나 만들어야겠다. 끝.

 

쇼단도 어뷰즈도 검색은 되나 전체는 안된다. 비율이 얼마나 될지 궁금하네.