LogParser 를 이용해 대량 SQL injection 악성코드 로그만 추출해내는 기법.
1. LogParser 사용법
a) http://www.msexchange.org/tutorials/Using-Logparser-Utility-Analyze-ExchangeIIS-Logs.html
b) http://www.securityfocus.com/infocus/1712
2. LogParser 로 대량 SQL injection 악성코드 로그 추출하는 명령어
LogParser -i:iisw3c -o:csv "SELECT * INTO suspicious.csv FROM ex*.log WHERE cs-uri-query LIKE '%CAST(%'"
suspicious.csv 파일 안에 관련 로그가 저장됨.
공격자 IP, 공격받은 URL (ASP)을 뽑아낼 수 있음.
공격받은 URL 을 검토하여 소스 수정.
주의: HTTP status 코드가 2xx, 5xx 계열이어야 함. 4xx 계열은 공격에 실패한 로그이므로 무시해도 무방함.
1. LogParser 사용법
a) http://www.msexchange.org/tutorials/Using-Logparser-Utility-Analyze-ExchangeIIS-Logs.html
b) http://www.securityfocus.com/infocus/1712
2. LogParser 로 대량 SQL injection 악성코드 로그 추출하는 명령어
LogParser -i:iisw3c -o:csv "SELECT * INTO suspicious.csv FROM ex*.log WHERE cs-uri-query LIKE '%CAST(%'"
suspicious.csv 파일 안에 관련 로그가 저장됨.
공격자 IP, 공격받은 URL (ASP)을 뽑아낼 수 있음.
공격받은 URL 을 검토하여 소스 수정.
주의: HTTP status 코드가 2xx, 5xx 계열이어야 함. 4xx 계열은 공격에 실패한 로그이므로 무시해도 무방함.
덧글
용기백배 2008/05/14 13:52 # 답글
작년말 처음 접했던 로그파서, 정말 활용도가 많은것 같습니다^^사용예를 하나 깔끔하게 정리해주시니 참고하기 좋은것 같습니다~
궁금 2008/05/15 16:54 # 삭제 답글
질문이 있는데요....query에서 %CAST(%가 들어간 것을 조사하는 이유가 있는지요??
xeraph 2008/05/15 23:58 # 답글
궁금 / SQL 인젝션 침입 탐지 패턴을 우회하도록 CAST 함수를 이용해서 공격자가 원하는 쿼리문을 인코딩하여 집어넣고 있기 때문입니다.
coderant 2008/05/16 08:42 # 답글
CAST로 인코딩하는 것도 있지만 쉽게 말해서 쿼리문을 짜르고 붙이는 기법도 한번 생각해볼 수 있죠
ww0jeff 2008/06/10 07:08 # 삭제 답글
간만에 급하게 또 참조하러 옵니다. ~.~
용기백배 2009/01/29 16:16 # 답글
Logparser 관련해서 포스팅하다 헐랭이님 글에서 본문 일부를 인용하여 신고하고 갑니다~ 트랙백으로 걸려고 했는데, 핑백이 자동으로 걸려주네요. 수고하세요^^