소프트웨어/보안
대량 SQL injection 악성코드 로그 추출하기
falconer
2008. 5. 16. 08:18
LogParser 를 이용해 대량 SQL injection 악성코드 로그만 추출해내는 기법.
1. LogParser 사용법
a) http://www.msexchange.org/tutorials/Using-Logparser-Utility-Analyze-ExchangeIIS-Logs.html
b) http://www.securityfocus.com/infocus/1712
2. LogParser 로 대량 SQL injection 악성코드 로그 추출하는 명령어
LogParser -i:iisw3c -o:csv "SELECT * INTO suspicious.csv FROM ex*.log WHERE cs-uri-query LIKE '%CAST(%'"
suspicious.csv 파일 안에 관련 로그가 저장됨.
공격자 IP, 공격받은 URL (ASP)을 뽑아낼 수 있음.
공격받은 URL 을 검토하여 소스 수정.
주의: HTTP status 코드가 2xx, 5xx 계열이어야 함. 4xx 계열은 공격에 실패한 로그이므로 무시해도 무방함.
출처 : http://swbae.egloos.com/1755242
1. LogParser 사용법
a) http://www.msexchange.org/tutorials/Using-Logparser-Utility-Analyze-ExchangeIIS-Logs.html
b) http://www.securityfocus.com/infocus/1712
2. LogParser 로 대량 SQL injection 악성코드 로그 추출하는 명령어
LogParser -i:iisw3c -o:csv "SELECT * INTO suspicious.csv FROM ex*.log WHERE cs-uri-query LIKE '%CAST(%'"
suspicious.csv 파일 안에 관련 로그가 저장됨.
공격자 IP, 공격받은 URL (ASP)을 뽑아낼 수 있음.
공격받은 URL 을 검토하여 소스 수정.
주의: HTTP status 코드가 2xx, 5xx 계열이어야 함. 4xx 계열은 공격에 실패한 로그이므로 무시해도 무방함.
출처 : http://swbae.egloos.com/1755242