KENSEI IT BLOG

증상 웹서버인경우 웹사이트에서 바로 이상이 감지됨 서버에 과도한 부하 및 트래픽 발생존재하지 않았던 파일 생성DB 테이블 혹은 웹페이지 소스가 변조되거나 특정내용이 삽입중요명령어의 실행 결과가 이상 혹은 명령어가 실행이 되지 않거나 깨짐접속로그 확인시 출처 불분명 아이피가 로그인 성공 로그가 확인됨로그에 critical (buffer overflow 공격시) 관련 로그가 남음crond 나 데몬실행 스크립트에 삽입시스템의 랜카드가 promiscuous 모드로 동작netstat 명령어로 확인시 평소보다 많은 포트가 오픈평소 못보던 프로세스나 프로그램이 실행되어 있다 조치 Nessus 를 이용해서 서버 취약점 스캔 Rkhunter 를 통해 먼저 시스템 점검파일의 무결성과 keylogger 및 백도어를 검사 앞..

Access_log "GET /mysql/entry/document_srl/363/page/1/npage/1/sort_index/regdate/order_type/desc HTTP/1.1" 200 6865 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" "POST /mysql/entry/document_srl/363/page/1/npage/1/sort_index/regdate/order_type/ HTTP/1.1" 302 - ..

2008년 윈도우 PC에 LISTEN 된 139 / 445 포트를 통해 악성코드를 심는 이슈사항 방화벽에서 윈도우 서버 아이피들에 대한 139/445 포트 차단 호스팅 회사 및 ISP 업체에서도 해당 포트는 막혀져 있을수 있음

모든 해킹 당한 서버의 공통점은 아니겠지만 많은 포트들이 열려져 있는 상태이다.

특징 누구나 쉽게 구할수 있다 방화벽에서 80번은 모두 오픈인데 80번을 통해서 접속 바이러스 백신 탐지가 어려움 소스에 삽입된 소스로 인해 최신 데이터로 복구가 어려움 자동화 공격

계정 확인 제어판 - 관리도구 - 컴퓨터 관리 - 로컬 사용자 및 그룹 - 사용자 이름 뒤에 $ 가 붙은 계정은 숨겨진 계정이며 침해사고 이후 생성된 계정일 확률이 높음 제어판 - 관리도구 - 컴퓨터 관리 - 로컬 사용자 및 그룹 - 그룹 Administrator 권한으로 되어 있는 계정들 확인 Guest 계정은 권한없이 로그인이 가능할수 있으므로 사용하지 않는경우 사용하지 않음에 꼭 체크한다 ※ CMD 창에서 net user 명령은 숨은 계정이 표시 되지 않음 파일검색 악성코드에 감염된 날짜 기준으로 하는게 나으며 exe 파일과 dll 파일을 우선적으로 확인해봐야 함 정확히 감염된 날짜를 모른다면 금일 엑세스된 파일을 검사해보는것이 나음 Autoruns 악성코드는 윈도우즈가 재시작 되거나 다른 프로그램..

Refer 를 이용한 무단 링크 차단 mod_rewrite 사용 - jpg, jpe, gif, png 파일중 외부 링크 타고 오는 경우 link_denied.gif 파일을 보내줌 RewriteEngine On RewriteCond %{REQUEST_FILENAME} \.jpe?g$|\.gif$|\.png$ [NC] RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !www\.365managed-tip\.com [NC] RewriteCond %{HTTP_REFERER} !365managed-tip\.com [NC] RewriteRule (.*) /link_denied.gif SetEnvlf 사용 - [^(link_denied)]\.(jpe?g|gif..

limit This module matches at a limited rate using a token bucket filter. A rule using this extension will match until this limit is reached (unless the ‘!’ flag is used). It can be used in combination with the LOG target to give limited logging, for example. [!] --limit rate[/second|/minute|/hour|/day] Maximum average matching rate: specified as a number, with an optional ‘/second’, ‘/minute’, ‘..

Tables - filter - NAT (Network Address Translation) - mangle - raw Table 마다 특정한 Chain 생성가능 고유체인들 filter Table - INPUT : 커널내부에서 라우팅을 마친후 로컬 자신이 목적지인 패킷에 적용 - OUTPUT : 로컬 시스템 자신이 생성한 패킷을 위한 나가는 패킷에 적용 - FORWARD : 로컬 시스템 자신을 통과하는 패킷에 대한 적용 NAT Table - PREROUTING : 라우팅 결정이 되기전 헤더 변경 가능 - POSTROUTING : 라우팅 결정이 된 후 헤더 변경 가능 Match --source (-s) : 출발지 주소 --destination (-d) : 목적지 주소 --sport : 출발지 포트 --dp..

커널에서 필터링 확인 cat /proc/sys/net/bridge/bridge-nf-call-iptables (0 = bypass, 1 = nonbypass) echo 0 > /proc/sys/net/bridge/bridge-nf-call-iptables echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables bridge 방화벽의 경우 장애의 원인을 찾을수 없는 경우 커널바이패스 활성화 LVS 서버에서 커널바이패스 활성화를 하면 분배가 되지 않는다. 이제 까지 확인된것은 커널바이패스 활성화시 iptables , LVS 분배 기능을 무시하고 패킷을 통과 시킨다. 커널바이패스는 서버가 정상적인 상태에서 논리적으로 커널의 넷필터 기능을 통과 (바이패스) 한다 물리적인 ..