Bazinga!

어느날 홈페이지 서버에 설치되어있는 백신이 악성코드를 탐지악성코드는 생성일자가 조작되어있음홈페이지 취약점을 통해 악성코드가 생성되었을 것을 의심웹 로그 분석을 통해 공격자의 침투 정황이 존재하는지 확인 필요웹 서버는 결론적으로 해킹되어있는 상태였다.질문 : 홈페이지 서버 웹로그에는 침해사고와 관련된 정황이 존재하는가?\ 생각생각생각뭔가 장악한(스캔한) 흔적이 있을것 77.68.61.94 의심된다 527번         해설77.68.61.94 가 계속 접근했던 /bbs//vote.php 가 보인다.갑자기 수가 뛴 /bbs/data/wtinst.php 도 보인다 웹셸을 찾았다추적해야함------------- -> /bbs/lib.php(프레임워크 디폴트 페이지) 로 수상한 문구를 GET요청 - chr() ..

웹 로그를 보고 웹셸을 찾아볼것이다.(해커가 통제하지 못하는 구간임)  서버 담당자가 웹 로그를 설정하지 않을경우를 제외하고는 무조건 웹 로그에 웹셸이 찍힌다. 방어자 관점에서 알아야 하는 웹셸의 특징1. 웹셸에 접근할 수 있는 경로는 오직 공격자만 알고 있다.2. 웹셸 파일에 접근한 이력이 있는 IP는 모두 공격과 관련이 있다.3. 공격자는 웹셸 파일에만 지속 접근한다. 그리고 대부분 POST 방식이다.  ------------------실습1

경향성을 보는 것 175.209.132.54125.129.155.88두개를 공격IP로 생각해볼수있다. 뭔가 많다는건 초당으로 봤을때 많아야한다.18시에 8000번대는 많다고 단정지을 수 없다17시 58분에 1400번도 많다고 단정지을 수 없다18:40:48 - 48초대에 30번 정도는 많다고 할 수 있다. 초당 2번 -> 논리 떨어짐하루 기준으로 분산되어있음 -> 논리 떨어짐    --------------\[timestamp] [사설ip] [어떤 dns서버에 요청했는지] [dns포트] [접속하려는 도메인] [레코드타입]   갑자기 팍 튀는 값을 볼 수 있다.정상 도메인    dns질의를 엄청많이했는데 정작 9군데에만질의를 많이 함시간대비 질의를 얼마나 많이 할까?지속적으로 비슷한 분포로하고있다는 것을 ..

1. 누가 접속했는지 알 수 있다.  2. timestemp [ ] 로그에 시간이 장비에 제대로 설정되어있는지 중요하다.[ +0900] 한국시간이냐 아니냐  3. 어디에 접근했는지 알 수 있다.  4. GET - 특정 페이지 접근POST - 데이터를 서버 측에 전송 파라미터는 글자수에 제한이 있어서 GET방식으로 구현하기 어렵다.POST는글자 수 제한이 없어 해킹사고는 post방식에서 많이 발생한다. 5. 서버 상태 코드ex ) 200 http 응답 코드 6. 서버 응답 바이트 수  -------------------------- cat cut grep sort uniq awk1. cut 공백 기준으로   2. 어떤 ip가 가장 많이 접속했는지 볼 때sort 오름차순sort -rn 내림차순 uniq 중복..