CentOS8_AAI 설치 후 접속이 잘 되던 사이트들이 503 Service Unavailable 에러로 접속불가 합니다(ㅠ…
페이지 정보
본문
안녕하세요!
한개의 서버에 사이트 몇개를 설치하여 운영하고 있습니다.
워드프레스 사이트와 그누보드 사이트를 운영중인데요~
그누보드 설치된 사이트들이 전부 503 Service Unavailable 에러로 인하여 접속이 안되고 있습니다.
현재, 에러 메세지는 아래와 같습니다.
[Tue Jun 01 08:45:25.951380 2021] [proxy:error] [pid 2292385:tid 140058740909824] (70007)The timeout specified has expired: AH00957: FCGI: attempt to connect to 127.0.0.1:9056 (*) failed
[Tue Jun 01 08:45:25.951414 2021] [proxy_fcgi:error] [pid 2292385:tid 140058740909824] [client 62.210.149.41:20380] AH01079: failed to make connection to backend: 127.0.0.1
그리고, 아래와 같은 공격이 있은 후부터 위와 같은 에러메세지가 뜨는 듯 합니다.
[Tue Jun 01 08:33:42.009104 2021] [:error] [pid 2289323:tid 140059594512128] [client 157.55.39.189:33024] [client 157.55.39.189] ModSecurity: Warning. Pattern match "(?i)(?:;|\\\\{|\\\\||\\\\|\\\\||&|&&|\\\\n|\\\\r|`)\\\\s*[\\\\(,@\\\'\\"\\\\s]*(?:[\\\\w'\\"\\\\./]+/|[\\\\\\\'\\"\\\\^]*\\\\w[\\\\\\\'\\"\\\\^]*:.*\\\\\\\\|[\\\\^\\\\.\\\\w '\\"/\\\\\\\\]*\\\\\\\\)?[\\"\\\\^]*(?:s[\\"\\\\^]*(?:y[\\"\\\\^]*s[\\"\\\\^]*(?:t[\\"\\\\^]*e[\\"\\\\^]*m[\\"\\\\^]*(?:p[\\"\\\\^]*r[\\"\\\\^]*o[\\"\\\\^]*p[\\"\\\\^]*e ..." at ARGS:url. [file "/etc/httpd/modsecurity.d/activated_rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf"] [line "226"] [id "932115"] [rev "4"] [msg "Remote Command Execution: Windows Command Injection"] [data "Matched Data: &sort found within ARGS:url: /shop/list.php?ca_id=2020&sort=it_use_cnt&sortodr=desc&device=pc"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "9"] [accuracy "8"] [tag "application-multi"] [tag "language-shell"] [tag "platform-windows"] [tag "attack-rce"] [tag "OWASP_CRS/WEB_ATTACK/COMMAND_INJECTION"] [tag "WASCTC/WASC-31"] [tag "OWASP_TOP_10/A1"] [tag "PCI/6.5.2"] [hostname "www.sample-site.com"] [uri "/bbs/login.php"] [unique_id "YLVyViDPyPYZk7BGr9JNmgAAAEE"]
[Tue Jun 01 08:33:42.009407 2021] [:error] [pid 2289323:tid 140059594512128] [client 157.55.39.189:33024] [client 157.55.39.189] ModSecurity: Warning. Operator GE matched 5 at TX:anomaly_score. [file "/etc/httpd/modsecurity.d/activated_rules/REQUEST-949-BLOCKING-EVALUATION.conf"] [line "57"] [id "949110"] [msg "Inbound Anomaly Score Exceeded (Total Score: 5)"] [severity "CRITICAL"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-generic"] [hostname "www.sample-site.com"] [uri "/bbs/login.php"] [unique_id "YLVyViDPyPYZk7BGr9JNmgAAAEE"]
이를 해결할 수 있는 방법을 알려주시면 대단히 감사드리겠습니다.
빠른 복구가 되어야 하는데~ 도통 해결하는 방법을 알길이 없습니다.
고수님들의 해결책을 기대해야 하는 상황입니다.
(리눅스 서버에 대해서는 아는것이 많지 않아서요... 그냥 따라하는 수준입니다...ㅜ)
댓글목록
웹지기님의 댓글
웹지기 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 아이피 (75.♡.♡.122) 작성일
잘되던 사이트라면 기존 사용중인 서버에 AAI를 설치 하겼다는 걸로 보이는데 만약 그런 상황이라면 서버가 정상 작동되지 않을 겁니다.
아파치존에서 배포하는 AAI 는 모두 새로운 서버 즉 초기화로 리셋된 서버에서만 사용이 가능 합니다.
기존에 아파치 또는 Nginx 가 설치된 서버에서는 사용하시면 안되는 것 입니다.
만약 이러한 상황이라면 백업 자료를 사용하시거나 IDC 에 기존 서버로의 복구를 요청 해여야 합니다.
그리고 에러 내용을 읽어보니 proxy_fcgi 에 대한 에러가 출력 되는 것으로 보아 AAI 가 설치 되면서 사용중인 서버의 설정을 변경 한듯 보입니다.
교육그룹님의 댓글의 댓글
교육그룹 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 아이피 (211.♡.♡.239) 작성일
안녕하세요!
신규서버 계약하여 AAI를 최초설치 했습니다.
그런데... 워드프레스 사이트와 그누보드 사이트 2종류 홈페이지가 돌아가고 있는데~
워드프레스 일부 홈페이지는 잘 돌아가고 일부는 스톱되었구요~ 그누보드 사이트는 전부 스톱되었었네요!
해결책은... 서버를 재부팅 하니깐~ 전부 잘 돌아가네요! 나중에 또 동일한 상황이 발생될지는 지켜봐야 할 듯 하구요!
memcached와opcache를 설정하여 사용하고 있는데~ 이것 때문에 그런 증상이 나올 수 있을까요?