LogParser 를 이용해 대량 SQL injection 악성코드 로그만 추출해내는 기법.
1. LogParser 사용법
a) http://www.msexchange.org/tutorials/Using-Logparser-Utility-Analyze-ExchangeIIS-Logs.html
b) http://www.securityfocus.com/infocus/1712
2. LogParser 로 대량 SQL injection 악성코드 로그 추출하는 명령어
LogParser -i:iisw3c -o:csv "SELECT * INTO suspicious.csv FROM ex*.log WHERE cs-uri-query LIKE '%CAST(%'"
suspicious.csv 파일 안에 관련 로그가 저장됨.
공격자 IP, 공격받은 URL (ASP)을 뽑아낼 수 있음.
공격받은 URL 을 검토하여 소스 수정.
주의: HTTP status 코드가 2xx, 5xx 계열이어야 함. 4xx 계열은 공격에 실패한 로그이므로 무시해도 무방함.
출처 : http://swbae.egloos.com/1755242
1. LogParser 사용법
a) http://www.msexchange.org/tutorials/Using-Logparser-Utility-Analyze-ExchangeIIS-Logs.html
b) http://www.securityfocus.com/infocus/1712
2. LogParser 로 대량 SQL injection 악성코드 로그 추출하는 명령어
LogParser -i:iisw3c -o:csv "SELECT * INTO suspicious.csv FROM ex*.log WHERE cs-uri-query LIKE '%CAST(%'"
suspicious.csv 파일 안에 관련 로그가 저장됨.
공격자 IP, 공격받은 URL (ASP)을 뽑아낼 수 있음.
공격받은 URL 을 검토하여 소스 수정.
주의: HTTP status 코드가 2xx, 5xx 계열이어야 함. 4xx 계열은 공격에 실패한 로그이므로 무시해도 무방함.
출처 : http://swbae.egloos.com/1755242
'소프트웨어 > 보안' 카테고리의 다른 글
| IceSword 루트킷(rootkit) 분석 도구 (0) | 2008.08.14 |
|---|---|
| MAC 주소를 속이는 방법 (0) | 2008.07.31 |
| 편리한 다중엔진 바이러스 검사 웹사이트 (0) | 2008.04.25 |
| USB , 하디 디스크 강력한 암호화로 보호 (0) | 2008.04.08 |
| 카스퍼스키, NOD32, 비트디펜더 등의 스캔을 한번에 하기. (1) | 2007.09.28 |