헐랭이와 IT보안 (opt9's IT Security)

덧글

• 손님 2008/05/14 09:22 # 삭제 답글

  ip블럭킹도 인제 소문이 났다보네요..오늘 출근해서 로그를 보니
  일반 국내 사이트에서 공격형태로 바꼈네요..점령당한 서버를 이용해서라도 공격할라고 하다니
  참 고생이 많아 보이긴하는데.아직 패턴이 안바꼈을때라도 현재방어에 성공하셔야
  패턴이 바꼈을때도 대처가 가능할겁니다.
  
  이블로그 주인장님의 글이라도 정독하셔서 막으시길 바랍니다.
  근데 손님이라는 이름으로 글을 몇개쓰다보니.ㅡ.ㅡ....아이디 같네요.ㅋㅋ
  
  

• 헐랭이 2008/05/14 09:56 # 답글

  User-Agent 필드가 "Mozilla/3.0+(compatible;+Indy+Library)" 이면 Block 하는 것으로 소스를 변경해보세요. 이렇게 해도 어차피 반나절~하루 정도 밖에는 못버팁니다만...

• 헐랭이 2008/05/14 09:57 # 답글

  시간은 조금 벌 수 있겠지요.

• 손님 2008/05/14 15:21 # 삭제 답글

  * 참고로 한마디 구글의 검색으로 볼수 있는건 아무래도 구글 봇이 수집한것과 디스플레이되는것과의 시간차가 있습니다. 현재 저희쪽도 침입했던 시기와 시간차가 4일 이상 차이가 있군요.
  
  전부 그렇지는 않겠지만, 현재 걸린걸 확인하는 가장 빠른
  방법은 db테이블을 보는게 가장 확실할겁니다.
  
  모 대학병원 사인트가 거덜났더군요.ㅠㅠ 에휴
  하여간에 손님자격으로 몇개 글 쓰고 있습니다만 이번건에 대해서 최대한의 노력으로
  사태에 대처를 하시기 바랍니다.
  
  ##여러 보안사이트에서 모든 랭귀지 및 DB에 대해서 경고를 한적이 있습니다. 안전한 구역은 없다고 봅니다.

• 헐랭이 2008/05/14 15:45 # 답글

  SQL injection 이 언어나 DB를 가리는게 아닌것은 사실입니다. 그러나 일단 해당 공격은 ASP 와 MS-SQL 을 사용하는 사이트에 대한 공격입니다. 제 개인적인 추측입니다만, 공격 쿼리로 볼 때 Transact-SQL 을 지원하는 사이트가 아닌 경우 해당 공격이 유효하지 않을 것입니다.

• 손님 2008/05/14 16:45 # 삭제 답글

  저희 호스팅과 유사하게 쿼리를 팅기는 소스를 블로그에 공개한분이 있었네요
  
  출처:http://magic.littleworld.net/ai/kmod.asp?no=327&isn=&mymsg=
  
  한번씩들 참고하세요.
  
  그리고 바이러스체이서(뉴테크웨이브)사에서도 injection관련 무료 툴을 배포중입니다.
  효엄은 사용자한테 맡겨야 되겟지만, 주로 변조 방지용은 되겠더군요.
  
  저도 건건히 발견할때마다 손님자격으로 글쓰는거라 한꺼번에 못쓰고 도배형태가 되서 죄송합니다.