You are currently browsing the archives for 2월 2011.
Displaying 4 - 6 of 6 entries.

WordPress IIS7 500.50 Error

  • Posted on 2월 15, 2011 at 10:45 오후

워드프레스는 링크를 여러가지로 표현하도록 지원하고 있다.

 http://2yun.pe.kr/?p=123  )와

정적인 폴더에 접근하는 것처럼하는 사용자 정의 링크 (http://2yun.pe.kr/archives/123) 가 있는데 개인적으로 사용자 정의 링크가 깔끔해서 선호한다.

 

 

 문제는 IIS에 설치할 경우 iis의 rewrite 모듈을 활용하는데 잘 되다가도 가끔씩  500에러가 난다.

원인을 찾던중 아래 링크에서 권한 문제임을 알게 되었고 조치 했다.

http://www.howyoudo.info/index.php/how-to-fix-windows-server-upload-file-inherit-permissions-error/ 

대략의 내용은 php의 업로드 임시폴더위치와 권한을 관리할 것으로 권하고 있다.

하지만 권하는 방법으로도 잘 안되서 해당 폴더의 권한을 조정하였다.

Continue reading WordPress IIS7 500.50 Error »

Care to leave a comment?

  • Filed under:

Web-Server(IIS) LOG를 SQL에 옮겨서 분석할수 없을까?

  • Posted on 2월 13, 2011 at 12:31 오후

IIS LOG를 SQL에 옮겨서 분석할수 없을까 하고 찾다 보니

MS에서 Log Parser 2.2를 배포하고 있었다.
기본사용법
LogParser -i:EVT -o:SQL “SELECT * INTO EventLog FROM System” -server:Laptop\SqlExpress -database:Keeper -driver:”SQL Server” -createTable:ON
로그파일을 자동으로 찾아서 처리하도록 하려면 다음과 같이 배치 파일을 만들면 된다.
REM Use on servers set to UK date
SET CurrentLogFile=ex%date:~8,2%%date:~3,2%%date:~0,2%.log
REM SET the path to the IIS Log Files Folder. NOTE: If your IIS server has multiple Websites you may have to change the path.
SET LogFilesFolder=%SYSTEMROOT%\system32\Logfiles\W3SVC1\
ECHO Attempting to process IIS Log File: %LogFilesFolder%%CurrentLogFile%
PAUSE
LogParser -i:IISW3C -o:SQL “SELECT * INTO IISLog FROM %LogFilesFolder%%CurrentLogFile%” -server:Laptop\SqlExpress -database:Keeper -driver:”SQL Server” -createTable:ON
PAUSE

Continue reading Web-Server(IIS) LOG를 SQL에 옮겨서 분석할수 없을까? »

Care to leave a comment?

홈페이지 피해 복구기(記)

  • Posted on 2월 11, 2011 at 2:01 오후

최근 지인들의 홈피를 몇개 탑재하여 운영하고 있는 서버에 이상이 생겨 점검하던중 서버내 많은 파일들의 끝에  ://www.ro521.com/test.htm 을 포함한 iframe을 볼수 있었다. 
해당페이지는 이미 조치가 된듯하나 악성코드을 배포하는 사이트(공격당해 변형된듯)였던것 같다.

  1. 증상
본문, 사진 등이 깨져 보인다. 사이트를 열면 실시간 감시 백신이 벌레를 잡았다고 알린다.

  2. 조치

  1)   제로보드 관리자 테이블의 헤더, 풋터에 위 문장이 포함된 내용을 제거한다.

  2) 사이트 전체를 뒤져서 변형된 파일을 원위치 한다.  
참고로 쉘에서
#grep -r  “http://www.ro521.com/test. htm”  /home/*  하면 모두 찾는다.

  3) 혹시나 다른 루트킷이 있는지 찾아 본다. (있었다 !!)
루트킷은 데이터가 보관되는  폴더에 실행파일 형식이다보니 라이브러리 참조문자열( ld-linux.so)을  패턴으로 걸러낼 수 있었다.
 grep -r ld-linux.so /home/bbs4p19/*
 grep -r ld-linux.so /home/web/kck/*
 grep -r ld-linux.so /home/bear/*
 grep -r ld-linux.so /home/web/metalwoo/board/*  

  4) 스케줄, 데몬등에 다른 변형이 없는지 뒤져 본다. (있었다.)
심어둔 루트킷을 업데이트 하는 내용이 있었고 지웠다.

    5) 제로보드 세션파일을 일정주기로 지워야겠다. (cron에 등록했다)
find /home -name sess_* -mtime +1 -exec rm -f {} \;

  3. 정리하며

시스템을 분석결과  1월 2일 ~ 6일 사이에 변형이 이루어졌고  1월 말에 발견하여 네트워크를 차단하였으며  인터넷 서치결과 작년 11,12월에 광범위한 공격에 많은 사이트가 피해를 입었던것 같다.
알려진 취약점을 재빨리 반영해야 하지만, 한동안 게으름 피운 죄로 일주이상 서버가 정지했고,  완벽한 복구까지 이틀이상 밤샘 고생했다.
개편을 마음대로 할 수 없는 동호회와 기타 홈피 몇개는 그대로 복구하고 내것은 이참에 워드프레스로 옮겼다.   언제 다시 구성하고 내용(data)을 채울까…..

Continue reading 홈페이지 피해 복구기(記) »

Care to leave a comment?