Code_Red 바이러스

코드레드 바이러스 정보
http://info.ahnlab.com/smart2u/virus_detail_848.html

웹서버 로그가 많이 쌓여 있어 정리좀 하다 보니
다음과 같은 정보를 알게 되었다.

203.237.214.39 - - [11/Jul/2004:20:52:18 +0900] "GET /default.ida?XXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XX%u9090%u6858%ucbd3%u7801%u9090%u6858%
ucbd3%u7801%u9090%u6858%ucbd3%u7801%u909
0%u9090%u8190%u00c3%u0003%u8b00%u53
1b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275


이런 로그 파일이 아파치 로그에 계속 쌓이고 있었는데
코드레드 바이러스가 IIS에만 피해를 주는게 아니라
아파치의 로그에도 영향을 주고 있었던 것이다.

실제로 로그를 확인해 본 결과 위와 같은 로그가 그리 많진 않았지만
한번 걸러 주기로 했다.

코드레드 로그만 CodeRed_log 파일에 저장한다.
#cat access_log |grep ida? > CodeRed_log

로그파일에서 코드레드 로그만 삭제하고 access_log_new 파일에 저장한다.
#sed '/ida?/d' access_log > access_log_new

원본 파일을 코드레드 로그가 삭제된 파일로 대체한다.
#rm -f access_log
#mv access_log_new access_log

임시 방편으로 위와 같은 방법을 사용 했다.
아파치 conf 파일에서 필터링 할 수 있는 방법을 찾아 봐야 겠다.

몇년이나 된 바이러스가 아직도 돌아 다니다니..
댓글 남기기
◀ PREV 1···847848849850851852853854855···902 NEXT ▶