2008.05.16 08:18

대량 SQL injection 악성코드 로그 추출하기

LogParser 를 이용해 대량 SQL injection 악성코드 로그만 추출해내는 기법.

1. LogParser 사용법
    a) http://www.msexchange.org/tutorials/Using-Logparser-Utility-Analyze-ExchangeIIS-Logs.html
    b) http://www.securityfocus.com/infocus/1712

2. LogParser 로 대량 SQL injection 악성코드 로그 추출하는 명령어
LogParser -i:iisw3c -o:csv "SELECT * INTO suspicious.csv FROM ex*.log WHERE cs-uri-query LIKE '%CAST(%'"

suspicious.csv 파일 안에 관련 로그가 저장됨.

공격자 IP, 공격받은 URL (ASP)을 뽑아낼 수 있음.

공격받은 URL 을 검토하여 소스 수정.

주의: HTTP status 코드가 2xx, 5xx 계열이어야 함. 4xx 계열은 공격에 실패한 로그이므로 무시해도 무방함.

출처 : http://swbae.egloos.com/1755242
Trackback 0 Comment 0