일부 사용자들이 User-Agent 문제로 접속이 안됩니다.
Date: 2008-06-16 ; Time: 17:17:59 ; Site Instance: W3SVC4 ; Event: OnPreprocHeaders
Client IP: xxx.xxx.xx.175 ; Username: ;
Additional info about request (event specific): GET /
OVRAW=%EC%96%BC%EB%A7%88%EC%97%90%EC%9A%94&OVKEY=%EC%96%BC%EB%A7%88%20%EC%97%90%EC%9A%94&OVMTC=standard&OVADID=5747216042&OVKWID=75668591542
HTTP/1.1
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;http://bsalsa.com)
.NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
BLOCKED: 'user-agent: mozilla' not allowed in User Agent
위 로그에서 정상 사용자들이 차단된 원인은 Header의 User-Agent 값에 ‘user-agent: mozilla'라는 값이 필터링 룰에 매칭되어 차단된 것입니다.
AQTRONIX는 Robots.xml 파일을 통해 User-Agent의 Database를 만들어 지속적으로 업데이트 하고 있습니다. 다음의 URL에서 해당 차단된 User-Agent를 검색해 보면 User-Agent를 속이는 Agent로 ‘Other Bad' 섹션에 분류되어 있습니다.
http://www.aqtronix.com > User-Agent 메뉴 > Lookup 에서 Agent 검색
Robots.xml 을 열어 Other Bad로 이동해 보면 User-Agent Other Bad와 User-Agent Other Bad Sequence 두개 항목이 있는데 이 두곳에서 해당 Agent 정보를 찾아 삭제하시면 됩니다.
※ 각 항목명과 각 항목명 Sequence의 차이
User-Agent Other Bad : Other Bad 섹션의 차단하고자 하는 Full User-Agent값
-> 차단메시지: "BLOCKED: User Agent not allowed"
User-Agent Other Bad Sequence : Other Bad 섹션의 차단하고자 하는 각 키워드
-> 차단메시지: "BLOCKED: '매칭된 키워드' not allowed in User Agent"
중요한 것은 차단된 사용자의 PC에 이런 Agent값을 갖는 악성 프로그램이나 스파이웨어가 설치된 것은 아닌지 먼저 점검 해봐야 합니다.
[출처] 웹보안툴박스 | WAFsupport
'윈도우즈 > Security' 카테고리의 다른 글
webknight.dll 로드되지 않을때 (0) | 2015.01.27 |
---|---|
WebKnight 로그 분석 안내서 - KrCERT (0) | 2015.01.27 |
윈도우즈에 mod_security 2.5.6 설치하기 (0) | 2015.01.27 |
IPsec 해외 IP 차단 정책 (0) | 2015.01.27 |
windows 보안점검 가이드 (0) | 2015.01.27 |