웹나이트 로그를 분석하다 보면 여러가지 정보를 수집하려는 하기도 하고, 흥미로운(?) 웹해킹로그를 발견하게도 됩니다.
시스템정보를 알아보기 위해 사용하는 프로그램은 여러가지가 있습니다.
사용자가 직접 만든 프로그램일수도 있으며, nmap 과 같이 무료로 배포되어서 사용되는
프로그램도 있습니다
하지만 대걔 특정 프로그램을 이용해서만 해킹시도를 하는 경우를 많습니다. 즉 사용자 에이젼트가 어떤것인지만 안다면 어느정도 차단을 할수 있는 웹해킹시도가 많다는 것입니다.
저는 다음과 같은 Webknight 로그를 매일 리포팅 받고 있습니다.
다음은 Webknight 로그를 파싱한 화면으로 특이한 부분이 발견되었습니다.
처음 구문부터 분석을 해보도록 하겠습니다.
13:03:20 ; W3SVC440 ; OnUrlMap ; 140.129.22.12 ; ; ; ; GoogleBot ; #########
시간 사이트ID 차단된분류 접속자 IP 사용자에이젼트
즉, 13시 03분 20초에 W3SVC440 의 사이트 ID 를 가지는 웹사이트로 (140.129.22.12)라는 공인 IPAddress 를 가지는 사용자가 GoogleBot 이라는 사용자에이젼트를 이용해서 접속을 시도하다가 차단된 예입니다.
이런.. 구글봇(GoogleBot) 인것 같습니다. 다음은 구글의 구글봇 도움말입니다.
그렇다면 정말 구글봇(googlebot) 이 이 웹사이트를 해킹하려 했다는 말일까요?
일단, 공격자 정보를 확인해보겠습니다.
타이완으로 타이페이에 할당된 IP 라고 합니다. 호스트명이 imail.ttu.edu.tw 인것으로 봐서는 타이완쪽 학교내 컴퓨터인듯합니다.
공격자는 학교내 컴퓨터를 이용해서 사용자에이젼트를 변경하는 방법으로 웹방화벽을 우회하고자 하였지만 SQL 인젝션차단설정에 의해서 차단되었습니다.
일반적으로 웹해킹은 거의 비슷한 사용자 에이젼트를 가지는 특성이 있습니다.
같은 툴을 사용해서 코드만 바뀌기때문이죠.
하지만 이렇듯 사용자 에이젼트는 수정이 가능하기때문에 에이젼트로 막는것은 약간의 도움은 되겠지만, 해결책이 되지는 못하는것 같습니다.
참고로 webknight 2.1 은 사용자 에이젼트로 차단하는 설정이 있으니 참고하시기 바랍니다.
덧글. 사용자 에이젼트에 의한 차단을 테스트할때는 다음 도구를 이용하면 편리하다
시스템정보를 알아보기 위해 사용하는 프로그램은 여러가지가 있습니다.
사용자가 직접 만든 프로그램일수도 있으며, nmap 과 같이 무료로 배포되어서 사용되는
프로그램도 있습니다
하지만 대걔 특정 프로그램을 이용해서만 해킹시도를 하는 경우를 많습니다. 즉 사용자 에이젼트가 어떤것인지만 안다면 어느정도 차단을 할수 있는 웹해킹시도가 많다는 것입니다.
저는 다음과 같은 Webknight 로그를 매일 리포팅 받고 있습니다.
다음은 Webknight 로그를 파싱한 화면으로 특이한 부분이 발견되었습니다.
처음 구문부터 분석을 해보도록 하겠습니다.
13:03:20 ; W3SVC440 ; OnUrlMap ; 140.129.22.12 ; ; ; ; GoogleBot ; #########
시간 사이트ID 차단된분류 접속자 IP 사용자에이젼트
즉, 13시 03분 20초에 W3SVC440 의 사이트 ID 를 가지는 웹사이트로 (140.129.22.12)라는 공인 IPAddress 를 가지는 사용자가 GoogleBot 이라는 사용자에이젼트를 이용해서 접속을 시도하다가 차단된 예입니다.
이런.. 구글봇(GoogleBot) 인것 같습니다. 다음은 구글의 구글봇 도움말입니다.
그렇다면 정말 구글봇(googlebot) 이 이 웹사이트를 해킹하려 했다는 말일까요?
일단, 공격자 정보를 확인해보겠습니다.
타이완으로 타이페이에 할당된 IP 라고 합니다. 호스트명이 imail.ttu.edu.tw 인것으로 봐서는 타이완쪽 학교내 컴퓨터인듯합니다.
공격자는 학교내 컴퓨터를 이용해서 사용자에이젼트를 변경하는 방법으로 웹방화벽을 우회하고자 하였지만 SQL 인젝션차단설정에 의해서 차단되었습니다.
일반적으로 웹해킹은 거의 비슷한 사용자 에이젼트를 가지는 특성이 있습니다.
같은 툴을 사용해서 코드만 바뀌기때문이죠.
하지만 이렇듯 사용자 에이젼트는 수정이 가능하기때문에 에이젼트로 막는것은 약간의 도움은 되겠지만, 해결책이 되지는 못하는것 같습니다.
참고로 webknight 2.1 은 사용자 에이젼트로 차단하는 설정이 있으니 참고하시기 바랍니다.
'컴퓨터' 카테고리의 다른 글
Rsync 사용하기 (2) | 2008.08.25 |
---|---|
Rsync 사용시 에러 발생 (0) | 2008.08.25 |
[ASP] loadpicture 구문을 이용한 이미지의 크기구하기 (0) | 2008.05.27 |
[이벤트로그] 터미널서비스 알림 초기화 실패. / TermServDevices (2) | 2008.04.03 |
엑셀 링크 한번에 없애기 (0) | 2008.02.20 |