어제부터 구글 애널리스틱 실시간 통계에서 404 페이지에 대한 조회수가 크게 증가하는 현상이 발생했습니다. 이런 경우는 거의 없었는데, 비정상적인 페이지 요청이 있는 것으로 의심되어 해당 IP 주소를 확인하여 차단하는 등의 조치를 취했지만 문제가 해결되지 않았습니다.
이 워드프레스는 클라우드웨이즈에서 호스팅되고 있는데, 클라우드웨이즈에서는 트래픽 요청이 많은 IP 주소와 요청 페이지를 확인할 수 있습니다. 비정상적인 방문자로 의심되는 경우 .htaccess 파일에 코드를 추가하여 접속을 차단시킬 수 있습니다.
/ws/003/va4qjw3w/xhr?t=1708393977204와 같이 /ws/숫자/샬라샬라 형식의 URL로 접속 시도가 증가하는 경우 Ubersuggest - SEO and Keyword Discovery라는 크롬 확장 프로그램이 문제의 원인일 수 있습니다. 방문자의 크롬 브라우저에 이 확장 프로그램이 설치되어 있다면, 해당 방문자의 브라우저에서 지속적으로 /ws/숫자/... 형식의 URL로 접속을 시도할 것입니다.
404 페이지 요청 증가
워드프레스 사이트에서 없는 페이지에 접속하면 404 Page Not Found 페이지가 표시됩니다. 이 블로그에서는 404 페이지를 커스텀하여 사용하고 있습니다.
구글 애널리틱스의 실시간 통계 페이지에서 최근 30분 간 페이지 없음 페이지에 대한 조회수가 40~50회를 상회하는 이상한 현상이 발생했습니다.
Rank Math SEO 플러그인의 404 Monitor 모듈을 활성화하여 확인해보았습니다.
ws/509/ak40otnc/xhr_streaming과 같이 ws/숫자/... 형식의 경로로 지속적으로 접속을 시도하고 있었습니다.
ws 폴더에 대하여 검색해보니 "$Windows.~WS folder"에 대한 내용만 검색되고 딱히 단서가 될 만한 문서는 검색되지 않네요.
클라우드웨이즈: IP 요청 트래픽 모니터링 및 IP 차단하기
위와 같이 이상한 페이지에 대한 요청이 지속적으로 이루어지는 경우 해당 IP 주소를 확인하여 차단하는 것을 고려할 수 있습니다. 보통 며칠 지나면 사라질 수도 있겠지만, 그렇지 않은 경우에는 문제의 IP 주소를 파악하여 조치를 취하는 것이 좋을 것 같습니다.
방문자 트래픽 모니터링 기능이 제공되지 않는 웹호스팅을 이용하는 경우 웹호스팅 업체에 연락하여 문제의 IP 주소 확인을 요청할 수 있을 것입니다. 그러면 호스팅 업체에서 방문자 로그를 체크하여 최상위 방문자 IP 주소를 확인해줄 것입니다.
클라우드웨이즈를 이용하는 경우 모니터링 페이지에서 IP 요청 통계를 확인할 수 있습니다. 방문자 IP 주소와 요청 URL을 확인하고 싶은 경우, 애플리케이션 관리 페이지의 Monitoring » Analytics » Traffic으로 이동하도록 합니다.
IP Requests 탭에서 최다 접속 IP 주소 목록과 접속한 URL을 체크할 수 있습니다.
비정상적인 IP 주소로 판단되면 .htaccess 파일에서 코드를 추가하여 해당 IP 주소를 차단할 수 있습니다.
차단 방법은 다음 글에서 제시하는 방법을 참고해보세요.
ws 폴더 접속 시도로 인한 404 페이지 조회수 증가 문제의 원인
이 방법으로 IP 주소를 차단한 후에 ws/735/tzrea2fv/xhr 등과 같이 이상한 URL 요청이 줄어들었지만 다시 증가하기 시작했습니다.
이상한 점은 제 IP 주소로도 이러한 URL에 대한 방문 요청이 꾸준히 발생하고 있었습니다.
악성코드에 감염된 것은 아닌지 의심스러워서 멀웨어 스캔을 해보았지만 이상이 없었습니다. 심지어 Cloudways에 연락하여 문의해보았지만 Wordfence의 방화벽을 활성화하고 IP 주소를 차단해 보라는 답변을 받았습니다.
여러 가지 조치에도 문제가 해결되지 않아서 혹시 은행 앱이나 크롬 브라우저의 확장 프로그램 때문에 이런 문제가 발생하는 것이 아닌지 의심이 되었습니다. 은행 프로그램을 삭제해도 문제가 해결되지 않았지만, Ubersuggest라는 키워드 분석을 위한 크롬 브라우저용 확장 프로그램을 비활성화하니 문제가 더 이상 발생하지 않았습니다.
이 확장 프로그램이 활성화되어 있으면 크롬 브라우저에서 ERR_CONNECTION_REFUSED 오류가 발생하면서 ws 폴더의 URL로 지속적으로 접속을 시도하게 됩니다.
이런 현상이 반복되면 해당 사이트에서 내 IP 주소가 차단당할 수도 있을 것입니다.
저는 Ubersuggest 확장 기능을 삭제했습니다. 이제는 제 크롬 브라우저에서 ERR_CONNECTION_REFUSED 에러가 발생하지 않고 있습니다. 하지만 이 확장 프로그램이 설치된 컴퓨터에서 사이트를 방문하면 이런 오류가 발생할 수 있습니다.
테스트를 해보니 워드프레스 사이트와 그누보드 사이트뿐만 아니라 구글 사이트에서 이와 같은 오류가 발생하네요.
일시적인 오류일 수도 있겠지만, 당분간 Ubersuggest 확장 프로그램을 삭제하는 것을 고려해보시기 바랍니다.
댓글 남기기