webknight

    [해킹] GoogleBot 으로 위장한 웹해킹 시도

    [해킹] GoogleBot 으로 위장한 웹해킹 시도

    웹나이트 로그를 분석하다 보면 여러가지 정보를 수집하려는 하기도 하고, 흥미로운(?) 웹해킹로그를 발견하게도 됩니다. 시스템정보를 알아보기 위해 사용하는 프로그램은 여러가지가 있습니다. 사용자가 직접 만든 프로그램일수도 있으며, nmap 과 같이 무료로 배포되어서 사용되는 프로그램도 있습니다 하지만 대걔 특정 프로그램을 이용해서만 해킹시도를 하는 경우를 많습니다. 즉 사용자 에이젼트가 어떤것인지만 안다면 어느정도 차단을 할수 있는 웹해킹시도가 많다는 것입니다. 저는 다음과 같은 Webknight 로그를 매일 리포팅 받고 있습니다. 다음은 Webknight 로그를 파싱한 화면으로 특이한 부분이 발견되었습니다. 처음 구문부터 분석을 해보도록 하겠습니다. 13:03:20 ; W3SVC440 ; OnUrlMap..

    Webknight 2.1

    Webknight 2.1 가 배포되었다는 이야기를 Serveris.pe.kr 에서 들었습니다. 우리나라에서 윈도우 웹방화벽의 대표적인 존재가 되어버린 Webknight. 사실 지금 주로 사용하는 버젼은 Webknight 1.3 입니다. 관리해야할 서버가 많아지면서 웹나이트차단로그에 대한 조사및 관리를 조금이라도 편하게 해보려고 특정서버로 데이터베이스화하도록 스크립트를 만들어서 사용하고 있었는데, Webknight 2.0 으로 바뀌면서 웹나이트차단로그의 용이함을 위해 기능적으로 좋아졌다는 2.0을 포기하고 기존의 1.3 을 사용하고 있었습니다. (사실 버젼업을 하면 전반적인 부분의 수정이 불가피하기때문에 귀찮아서 미루고 있었던거죠.) KISA 에서 배포하는 설정파일도 있고하니 예전부터 가지고 있단 설정파일..

    Webknight 로그의 데이터베이스화 클래스

    서버를 관리하는 사람들은 하루에도 엄청난 로그를 남기고 관리한다. 하지만 온갖 잡다한 로그속에서 필요한 로그를 찾기란 정말 힘들다. 그렇다보니 문제가 생기기 전까지 서버상에 기록된로그를 경시하려는 경향이 있다. 봐도 안봐도 그만인 정말 티 안나는 일이 로그 관리이기 때문 이다. 그렇다보니 조금이라도 편하게 관리를 하기 위해서 일부 프로그램이 제공하는것처럼 데이터베이스에 넣는 방법을 생각하게 되었다. 실시간이 아닌 사후처리 라는 점이 문제이기는 하지만 어차피 하루종일 쳐다보고 있지 않을 로그라면 데이터베이스에 넣어두고 사후관리시에도 용이하게 사용할수 있으리라는 막연한 생각때문에 스크립트를 만들기 시작했다. 실행속도와 서버부하를 생각하면 당연 C++ 같은 언어를 사용해야 하지만 VBScript 밖에 모르는 ..

    Windows Shell Hacking ...1

    윈도우쉘을 처음에 웹해킹시도에 사용된 파일을 분석하다가 알게 되었습니다. window 서버를 관리하면서 보안설정을 확인하고 웹방화벽의 로그를 조사하다보면 여러가지의 웹해킹 파일을 찾게 됩니다. 05 년만 하더라도 아무곳에나 파일을 업로드해서 인터넷 게스트 계정으도 실행시켜버리더니, 06 년에는 윈도우 쉘을 통해서 원하는 작업을 해버리는 방법으로 진화를 하였습니다. 올해에는 직접 윈도우 쉘을 통해서 컨트롤하는 방법과 실행파일을 이용하는 방법을 이용하였습니다. 실행파일을 이용하는 방법은 IISlockdown, Webknight 를 이용하면 막을수 있습니다. 문제는 윈도우쉘로 컨트롤하는 방법인데, 이 방법은 NTFS 접근권한을 제거하였음에도 불구하고 실행이 됩니다. Windows Shell VBscript '..