웹 로그 분석

 

분석 방법

- 새로 생성된 악성 파일 검색
logparser -i:FS "select top 20 Path, CreationTime from D:\tools\* order by CreationTime desc" -rtp:-1

- 파일 변조 여부를 검사
logparser -i:FS "select top 20 Path, LastWriteTime from D:\tools\* order by LastWriteTime desc" -rtp:-1

- 공격 성공 코드(200번)를 검사
logparser "select distinct TO_LOWERCASE(cs-uri-stem) AS URL, Count(*) AS Hits FROM ex*.log where sc-status=200 GROUP BY URL ORDER BY URL" -rtp:-1

- 응답 코드가 200, 300, 500 번대를 가지는 로그에서 요청 히트 수가 많은 순서대로 확장자(asp, exe)를 나열
logparser "SELECT TO_STRING(TO_TIMESTAMP(date,time),'yyyy-MM-dd' AS Day,cs-uri-stem, Count(*) AS Total ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE9cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe') GROUP BY Day, cs-uri-stem ORDER BY cs-uri-stem, Day" -rtp:-1

- 하루 30번 이상 동일 페이지에 접속한 사용자 IP 확인
logparser "select distinct date,cs-uri-stem, c-ip, Count(*) AS Hits FROM ex*.log GROUP BY date, c-ip, cs-uri-stem HAVING Hits>30 ORDER BY Hits DESC" -rtp:-1

- 500번대 이상의 응답 코드가 발생한 파라미터 확인
logparser "select cs-uri-query, Count(*) AS Total From ex*.log where sc-status>=500 group by cs-uri-query order by total desc" -rtp:-1

- 요청 히트 수 별로 확장자(asp 및 exe를 나열)
logparser "select cs-uri-stem, sc-status, Count(*) AS total from ex*.log where to_lowercase(cs-uri-stem) like '%.asp%' or to_lowercase(cs-uri-stem) like '%.exe%' group by cs-uri-stem, sc-status order by cs-uri-stem, sc-status" -rtp:-1

- HTTP Method 통계 분석(응답 코드가 400번 이상이며 확장자가 asp 혹은 exe 인 정보)
logparser "select cs-uri-stem, cs-method, Count(*) as total from ex*.log where (sc-status>=400) and (to_lowercase(cs-uri-stem) like '%.asp%' or to_lowercase(cs-uri-stem) like '%.exe%') group by cs-uri-stem, cs-method order by cs-uri-stem, cs-method" -rtp:-1