코드레드 바이러스 정보
http://info.ahnlab.com/smart2u/virus_detail_848.html
웹서버 로그가 많이 쌓여 있어 정리좀 하다 보니
다음과 같은 정보를 알게 되었다.
이런 로그 파일이 아파치 로그에 계속 쌓이고 있었는데
코드레드 바이러스가 IIS에만 피해를 주는게 아니라
아파치의 로그에도 영향을 주고 있었던 것이다.
실제로 로그를 확인해 본 결과 위와 같은 로그가 그리 많진 않았지만
한번 걸러 주기로 했다.
코드레드 로그만 CodeRed_log 파일에 저장한다.
#cat access_log |grep ida? > CodeRed_log
로그파일에서 코드레드 로그만 삭제하고 access_log_new 파일에 저장한다.
#sed '/ida?/d' access_log > access_log_new
원본 파일을 코드레드 로그가 삭제된 파일로 대체한다.
#rm -f access_log
#mv access_log_new access_log
임시 방편으로 위와 같은 방법을 사용 했다.
아파치 conf 파일에서 필터링 할 수 있는 방법을 찾아 봐야 겠다.
몇년이나 된 바이러스가 아직도 돌아 다니다니..
http://info.ahnlab.com/smart2u/virus_detail_848.html
웹서버 로그가 많이 쌓여 있어 정리좀 하다 보니
다음과 같은 정보를 알게 되었다.
203.237.214.39 - - [11/Jul/2004:20:52:18 +0900] "GET /default.ida?XXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XX%u9090%u6858%ucbd3%u7801%u9090%u6858%
ucbd3%u7801%u9090%u6858%ucbd3%u7801%u909
0%u9090%u8190%u00c3%u0003%u8b00%u53
1b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XX%u9090%u6858%ucbd3%u7801%u9090%u6858%
ucbd3%u7801%u9090%u6858%ucbd3%u7801%u909
0%u9090%u8190%u00c3%u0003%u8b00%u53
1b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
이런 로그 파일이 아파치 로그에 계속 쌓이고 있었는데
코드레드 바이러스가 IIS에만 피해를 주는게 아니라
아파치의 로그에도 영향을 주고 있었던 것이다.
실제로 로그를 확인해 본 결과 위와 같은 로그가 그리 많진 않았지만
한번 걸러 주기로 했다.
코드레드 로그만 CodeRed_log 파일에 저장한다.
#cat access_log |grep ida? > CodeRed_log
로그파일에서 코드레드 로그만 삭제하고 access_log_new 파일에 저장한다.
#sed '/ida?/d' access_log > access_log_new
원본 파일을 코드레드 로그가 삭제된 파일로 대체한다.
#rm -f access_log
#mv access_log_new access_log
임시 방편으로 위와 같은 방법을 사용 했다.
아파치 conf 파일에서 필터링 할 수 있는 방법을 찾아 봐야 겠다.
몇년이나 된 바이러스가 아직도 돌아 다니다니..
반응형
